Хакеры встроили скрытый майнер в тысячи государственных сайтов США и Великобритании

Специалист по информационной безопасности Скотт Хелме сообщил о распространении скрипта для майнинга монеро на сайтах, большинство из которых принадлежит государственным структурам США и Великобритании. Ummm,...

Ummm, so yeah, this is *bad*. I just had @phat_hobbit point out that @ICOnews has a cryptominer installed on their site... 😮 pic.twitter.com/xQhspR7A2f
— Scott Helme (@Scott_Helme) February 11, 2018

Сначала Хелме обнаружил скрипт на сайте ico.org.uk, но оказалось, что хакеры внедрили майнер в разработанное компанией TextHelp.com расширение BrowseAloud, которое позволяет озвучивать контент сайтов для пользователей со слабым зрением. Таким образом большинство сайтов, которые использовали расширение, майнили криптовалюту за счет посетителей. Скрипт использовал 40% мощности процессоров пользователей. В код BrowseAloud злоумышленники встроили Coinhive – один из наиболее популярных скриптов для добычи криптовалют через браузер. Уязвимость затронула 4275 сайта, среди которых сайты университетов, различных ведомств, многие из которых находятся на доменах .gov.uk, .gov.au и .gov. Этот пример показывает, что сторонние решения необходимо использовать с осторожностью. За счет проблем на стороне TextHelp.com были скомпрометированы сайты, воспользовавшиеся продуктом компании. В TextHelp.com подтвердили, что один из скриптов был модифицирован. Теперь компания проводит тщательное расследование инцидента. Каким образом некто получил доступ для редактирования кода пока не ясно. Это могли быть хакеры, которые взломали репозиторий компании. Также атаку мог подготовить, например, один из разработчиков компании, решивший подзаработать. До этого для скрытый майнер встраивали в популярные сайты, а также в рекламу на YouTube. Недавно Специалисты Лаборатории Касперского обнаружили уязвимость в клиенте Telegram для Windows, которая тоже могла быть использована для майнинга.