Тысячи сайтов по всему миру самых разных тематик майнили криптовалюту Monero в течение нескольких часов без ведома на то собственной администрации и посетителей сайтов. Проблема заключается в том, что криптомайнером был заражен плагин, который называется Browsealoud, созданный компанией Texhelp. Плагин разработан для людей с проблемами зрения, он в автоматическом режиме читает текст с экрана для тех пользователей, кто либо не видит вовсе, либо видит, но плохо.
Плагин был взломан, и в него неизвестные пока злоумышленники загрузили код майнера криптовалюты Monero. Майнер хорошо известен — это Coinhive, который популярен среди «криптовзломщиков». Вчера тысячи сайтов со скомпрометированным плагином в течение нескольких часов зарабатывали криптовалюту для злоумышленников. Общее количество сайтов, которые были затронуты взломом, составило 4200 адресов.
В их число входят многие американские государственные сайты, ресурсы правительства Великобритании и Австрии и другие. Manchester.gov.uk, NHSinform.scot, agriculture.gov.ie, Croydon.gov.uk, ouh.nhs.uk, legislation.qld.gov.au — только малая толика тех сайтов, что были заражены майнером. В сети сохранились как «чистые» страницы в кэше, без майнера, так и с ним вместе. Сам скрипт работает только тогда, когда пользователь открывает страницу с ним. Заразить свой ПК нельзя — здесь расчет именно на майнинг при помощи посетителей самых разных ресурсов.
Интересно, что внедренный код был обфусцирован, но защита не слишком хороша. При переводе в ASCII скрипт показывает все свои секреты.
Впервые код майнера был обнаружен консультантом по сетевой безопасности Скоттом Хельмом, после него факт заражения многих сайтов был подтвержден ресурсом The Register. Консультант и другие специалисты советуют владельцам сайтов использовать специализированную технологию, которая называется SRI (Subresource Integrity). Технология предотвращает возможность заражения злоумышленниками веб-сайтов путем внедрения какого-либо кода.
Если не предпринимать никаких действий, то от действий взломщиков не защищен никто. Дело в том, что огромное количество ресурсов использует плагины, расширения, интерфейсы и темы сторонних производителей. Если в исходном варианте чего-либо из перечисленного содержится внедренный код, то он постепенно распространится по всем тем ресурсам, которые используют заимствованные элементы.
Ну а SRI использует сверку аутентичности кода. Если что-то не так, то загружаться инфицированный скрипт не будет.
После того, как о взломе стало известно, компания Texthelp заявила о том, что она уже убрала вредоносный код из своего плагина, так что теперь проблем ни у кого не будет. Кроме того, плагин уже защищен от заражений того типа, которое было использовано в текущем случае. Следовательно, в будущем этот же плагин можно использовать без всяких проблем (конечно, пока кто-то не обнаружит очередную уязвимость и не воспользуется ею).
В Twitter представители компании сообщили, что к решению проблемы специалисты приступили, как только узнали о ней. «Наш загрузочный сервис был временно остановлен на время проведения расследования». Также компания заявила, что проблема была решена так быстро потому, что с прошлого года у Texthelp есть план по ликвидации последствий взлома. Этот план регулярно актуализируется и тестируется в учебном режиме.
Кроме решения проблемы, компании удалось добиться еще и того, что пользовательские данные (имеются в виду пользователи плагина) не были украдены или утеряны. Все находится на своих местах.
Что же касается самого майнера, то его не всегда устанавливают злоумышленники. Иногда это делают и создатели/администраторы сайтов. Например, не так давно команда трекера ThePirateBay установила тот же майнер на страницы ресурса, после чего на кошелек «пиратов» стали поступать средства. Замечена ситуация была только потому, что в первый (но не последний) раз, когда ThePirateBay действовал подобным образом, майнер потреблял большое количество ресурсов пользовательских ПК, из-за чего процессы выполнялись крайне медленно.