Кріптовалютная манія захопила багатьох, але для Майнінг потрібна величезна кількість енергії, вартість якої може виявитися вище, ніж вартість видобутих віртуальних грошей. Спритні кріптовалютчікі виходять з положення за допомогою хакерських програм. Подробиці - в матеріалі Tipler.Ru.

Вірус майнер на Tipler.Ru

До нас в редакцію надійшов лист від веб-студії It-Infinity, в якому повідомлялося, що сайт Tipler виявився заражений подібним «кріптовалютним вірусом»:

«Здрастуйте. Наша компанія займається аналізом проблеми поширення шкідливого програмного забезпечення, котре дозволяє зловмисникам непомітно для користувача сайту «Майн» криптовалюта, використовуючи ресурси його комп'ютера. На жаль, Ваш сайт tipler.ru виявився в списку заражених ».

Далі вказувалася посилання на каталог з шкідливим файлом. Видалити його можна було самостійно, що ми негайно і зробили, після чого змінили паролі і встановили всі останні оновлення.

Звичайно ж, ми вступили в листування з аналітиками з It-Infinity, щоб дізнатися більше про подібні віруси, а потім взяли інтерв'ю у директора веб-студії Віктора Каріонова. Ми попросили його розповісти про те, як його команда вперше зіткнулася з цією проблемою, як працює вірус і які масштаби зараження.

Надаємо слово Віктору

Tipler: Скажіть, будь ласка, як Ви виявили проблему?

Віктор Каріон: 4 Липня 2018 роки до нас звернувся клієнт для проведення запланованих робіт на його сайті. В процесі обговорення плану робіт ми звернули увагу на дивну анімацію в нижньому правому куті екрану.

Натиснувши на неї, ми потрапили на сайт https://www.sparechange.io/faq/ , На якому були пояснення, що дана анімація означає працює на сайті майнер. Якого ж було наше здивування, коли замовник повідомив нам, що не ставив жодних Майнер собі на сайт. Природно він попросив нас розібратися з проблемою.

Tipler: У чому був джерело проблеми? Як працював вірус?

Віктор Каріон: Ми швидко знайшли підключені до сайту JavaScript файли. Перший відповідав за підключення Майнера, другий був обфусцірован (зашифрований) і логіка його роботи нам до кінця не зрозуміла.

Якщо видалити ці файли, то протягом доби вони з'являлися знову. Це була тільки вершина айсберга. Ми розуміли, що десь розташований web shell (скрипт, який дозволяє повністю змінювати всі файли і виконувати довільні команди на стороні сервера).

Просканувавши сайт програмою AiBolit, ми знайшли цей шелл, а також файл backdoor'а, при зверненні до якого через браузер з певними параметрами він авторизувався на атакується сайті під обліковим записом адміністратора.

Цікавий факт, в файлах, доданих зловмисниками, в коментарях був текст: «Аудит безпеки вашого сайту за все за 1 xmr Усунемо існуючі уязвімоті Дамо рекомендації по організації роботи Пишіть на електронну пошту: [email protected] »(Орфографія збережена).

Tipler: Атаки піддаються всі сайти? Який масштаб проблеми?

Віктор Каріон: На жаль, постраждала велика кількість сайтів, серед яких були сайти банків, ЗМІ, великих іменитих рітейлерів, державні і багато інших. З метою конфіденційності та на прохання служб безпеки, ми вирішили не публікувати даний список.

Що стосується самого сервісу sparechange.io, то це цілком легальний майнер, який дозволяє адміністраторам, розмістивши його на своєму сайті, заробляти на своїх відвідувачів (наприклад замість реклами). Швидше за все, коли зловмисники почали використовувати його, він працював по-тихому, без всяких анімацій. У поточних версіях він проявляє себе за допомогою анімації, повідомляючи користувача про свою роботу.

Примітно, що майнер починав працювати не відразу і не на всіх сайтах. Десь він включався відразу, десь через час, а десь зовсім ніяк не виявляв активність. Під час роботи самого Майнера, навантаження на CPU (центральний процесор) виростала до 90% -100%.

Tipler: Піддаються інші сайти, що не належать до 1С-Бітрікс, таку проблему?

Віктор Каріон: Так, відповідь однозначна. Ми в зв'язку зі специфікою позиціонування своєї студії працюємо тільки з платформою 1С-Бітрікс, і знайдена нами схема атаки була адаптована саме під цю платформу, але нічого не заважає зловмисникам організувати атаку на будь-яку іншу CMS.

Ми провели велику роботу по вивченню логів атакованих сайтів з цілю виявлення причин і способів атаки і зараження сайтів. На основі отриманої інформації ми прийшли до висновку, що причина банальна - безвідповідальна поведінка адміністраторів сайтів по відношенню до політики безпеки. Паролі вкрадені безпосередньо з комп'ютерів адміністраторів за допомогою вірусного ПЗ. Насправді наше розслідування завершено не до кінця, до нього підключилися колеги з компанії ITSOFT.

Вони є не тільки веб студією, а й дата-центром. Зараз їх служба безпеки займається вивченням схеми поширення шкідливого програмного забезпечення.

Tipler: На якому етапі перебуває робота? Знайдено рішення?

Віктор Каріон: Наша студія в даний момент займається пошуком нових заражених сайтів і повідомленням адміністраторів цих сайтів, а також колег з інших веб студій з метою усунення виявлених проблем. Нами розроблений веб сервіс, який дозволить власникам сайтів на платформі 1С-Бітрікс дізнатися, заражений чи їх сайт - https://itinfinity.ru/servisy/minercheck/ . Також ми готові допомогти власникам сайтів в усуненні наслідків атаки і проведенні аудиту безпеки.

Tipler: Хочете щось додати, порекомендувати адмінам?

У висновку хочу нагадати в 1000 разів всім, хто працює з сайтами на правах адміністратора про те, що паролі потрібно зберігати в перевірених менеджерах паролів, використовувати тільки складні паролі, створені за допомогою відповідних генераторів, і не нехтувати антивірусами. На жаль, про це забувають як власники сайтів, так і розробники.