Масштабная кибератака произошла на минувших выходных — хакеры заразили свыше 4 тыс. сайтов по всему миру. Среди пострадавших веб-ресурсов значатся крупные правительственные порталы США, Великобритании, Канады и Австралии, в том числе сайты британской Национальной службы здравоохранения, нескольких американских судов и министерств.
Использовать вирус преступники решили для майнинга. Как стало известно в среду, овчинка выделки не стоила: заработать хакерам удалось только $24, которые им даже не выплатили. Однако будь хакеры чуть более прозорливы, все кончилось бы катастрофой.
Афера на двадцать долларов
Как написал в своем блоге исследователь Скотт Хелми, который первым обнаружил кибератаку, для того, чтобы заразить свыше тысячи сайтов, необязательно делать это вручную — достаточно взломать один ресурс, которым пользуются все потенциальные жертвы.
Этой уловкой и воспользовались злоумышленники. Источником атаки стал плагин для WordPress, который называется Browsealoud — он используется на нескольких тысячах сайтов для помощи слабовидящим людям. На момент написания заметки этот плагин более недоступен для скачивания, а датой блокировки значится 11 февраля — день начала кибератаки.
В рамках взлома хакеры загрузили на компьютеры посетителей пострадавших сайтов вредоносный Javascript-код. Как отмечает Хелми, в руках мошенников была возможность сделать все, что угодно — установить кейлоггеры, которые бы фиксировали нажатие клавиш, или запустить вирус-стиратель, который удалил бы все личные данные. «Единственное ограничение в этом случае — только воображение хакеров», — добавил эксперт.
Но они решили пойти самым «злободневным» путем — заразили системы вирусом-майнером, добывающим криптовалюту Monero.
«Это могла бы быть настоящая катастрофа, серьезно, это не учебная тревога, — заявил Хелми в интервью Motherboard. — Нам всем очень повезло, что мы так легко отделались, а атаку быстро обнаружили».
Директор департамента по исследованию угроз Avast Михал Салат рассказал корреспонденту «Газеты.Ru» о возможных сценариях развития событий. Если на сайте был поврежден экран авторизации, то злоумышленники могли украсть учетные данные пользователей для входа в систему в режиме реального времени.
«Поскольку многие люди используют одни и те же имя пользователя и пароль для нескольких учетных записей, киберпреступники имеют хорошие шансы добраться и до более важных данных», — пояснил эксперт.
Также злоумышленники могли бы использовать вторжение через веб-браузер для установки вредоносного ПО на устройствах, через которые пользователи входили на сайты.
Технический директор ESET Russia Виталий Земских в беседе с «Газетой.Ru» отметил, что пока масштаб бедствия преувеличен.
«В настоящее время киберзлоумышленники находятся в поиске альтернативных моделей заработка. Инцидент с майнерами этому тренду соответствует. Проблемы начнутся, когда этот сценарий усовершенствуют более квалифицированные авторы», — считает эксперт.
Как бы то ни было, затея хакеров нажиться на майнинге криптовалют себя так и не оправдала. Несмотря на крупные масштабы взлома, ведь жертвами атаки стали все без исключения посетители зараженных сайтов, финансовая выгода мошенников оказалась весьма скромной.
По данным сервиса для майнинга Coinhive, которым воспользовались преступники, им удалось заработать $24.
Представители Coinhive подчеркнули, что так и не выплатили злоумышленникам «заработанную» сумму.
Руководитель проектов по информационной безопасности КРОК Павел Луцик пояснил «Газете.Ru», что хакерская атака на правительственные сайты может нести в себе долгоиграющие политические и финансовые последствия, так как люди более склонны доверять информации, размещенной на государственных источниках.
Однако, по мнению эксперта, о глобальной катастрофе говорить не стоит: подобные атаки уже случались, поэтому люди все же стараются проверять прочитанные и полученные сообщения.
«Если говорить о России, то атаки на публичные государственные сайты приравниваются к атакам на объекты критической информационной инфраструктуры. С 1 января 2018 года за подобные атаки, в том числе и с целью майнинга, предусмотрена уголовная ответственность», — отметил Луцик.
Майнеры бьют рекорды популярности
За последнее время стало известно о многих случаях незаконного майнинга криптовалют с помощью мощностей компьютера пользователя. Например, ранее «Газета.Ru» писала о так называемом преемника вируса WannaCry, который получил название WannaMine — он проникал в компьютер пользователя и начинал тайно добывать криптовалюту, перегружая процессор.
Таким образом, жертва может и не знать, что ее система взломана, и даже не догадываться о причинах медленной работы компьютера. Представитель пресс-службы Group-IB пояснил «Газете.Ru» как понять, что сайт майнит криптовалюту — для этого нужно определить степень загрузки центрального процессора, используя, например, стандартный диспетчер задач.
Если при входе на сайт наблюдается аномальная загруженность процессора, то это почти однозначный признак того, что сайт добывает криптовалюту. Кроме того, можно изучить исходный код страницы, которую вы подозреваете в майнинге.
Число атак с использованием вредоносных криптомайнеров сильно возросло в последние месяцы.
По данным за январь 2018 года, это самый распространенный тип атак на организации — только от CoinHive пострадало 23% компаний, рассказал технический директор Check Point Software Technologies в России и СНГ Никита Дуров.
«CoinHive заражал гаджеты посетителей веб-страниц и втайне от них использовал ресурсы их процессоров ПК, чтобы добывать криптовалюту Monero. Подобные способы монетизации атак очень популярны среди злоумышленников сегодня», — объяснил Дуров.
Однако стоит отметить, что государственные порталы обладают хорошей степенью безопасности — например, используют системы защиты и мониторинга.
Как часто бывает, в февральском взломе ключевую роль сыграл человеческий фактор.
Разработчики порталов использовали дополнительные модули для официальных веб-сайтов, которым не уделялось должное внимание с точки зрения обеспечения безопасности.
«Среди жертв атаки могли оказаться специалисты различных государственных структур. Возможно, злоумышленники получили доступ не только к вычислительным мощностям компьютеров пользователей, но и к данным на их ПК, которые могут лечь в основу еще одной волны атак шифровальщиков», — предупредил эксперт.