1 1 2 1 2

Десантник

Постояльцы
  • Content Count

    2
  • Last visited

Community Reputation

0 Обычный
  1. ЭПИДЕМИЯ КРИПТОДЖЕКИНГА Настоящая эпидемия криптоджекинга (cryptojacking) захлестнула интернет еще в сентябре 2017 года, но в октябре это явление продолжило набирать обороты. Суть криптоджекинга предельно проста: в код сайтов внедряют спе‐ циальные скрипты, которые конвертируют мощности CPU посетителей ресур‐ са в криптовалюту. Фактически это майнинг через браузеры. Основной толчок развитию этого массового явления дали операторы тор‐ рент‐трекера The Pirate Bay, которые в прошлом месяце провели испытания и временно встроили криптовалютный майнер в несколько страниц сайта. Тогда операторы трекера объяснили, что майнер может стать новым средс‐ твом монетизации и поможет ресурсу в будущем полностью избавиться от традиционной рекламы. 11 октября 2017 года майнинговый скрипт для добычи криптовалюты Mon‐ ero, предоставленный сервисом Coinhive, вновь вернулся на страницы тре‐ кера, и, похоже, на этот раз майнер «пришел, чтобы остаться». Никаких офи‐ циальных заявлений от операторов сайта, впрочем, не поступало. Интересно, что разработчики Coinhive представили специальный UI‐вид‐ жет, который призван упростить жизнь клиентам сервиса, желающим идти законным путем. Виджет позволяет посетителям сайтов с майнерами легко контролировать их работу. Дело в том, что сами по себе майнинговые сервисы нельзя назвать незакон‐ ными. Однако криптоджекинг не на шутку заинтересовал злоумышленников, поэтому майнинговые скрипты далеко не всегда используются законным образом. К примеру, скрипт Coinhive уже приспособили, чтобы добавить скрытый майнер во взломанное расширение для Chrome, а также скрытые майнеры были обнаружены на многих ресурсах из топа Alexa (AirAsia, Tune Protect, официальный сайт Криштиану Роналду и так далее). Хуже того, использовать скрипты Coinhive недавно начали некоторые Tor2Web‐прокси, и скрытый майнер был найден даже в моддинговой плат‐ форме для Grand Theft Auto V, FiveM. Проблема заключается в том, что большинство ресурсов, встроивших майнеры в свои страницы, вообще не предупреждают пользователей о про‐ исходящем, а скрипты Coinhive и других аналогичных сервисов значительно нагружают CPU и оттягивают на себя почти все ресурсы системы. Кроме того, в погоне за легким заработком операторы сайтов и злоумышленники, взла‐ мывающие сайты, не предоставляют пользователям возможность отключения майнеров. Из‐за этого многие ИБ‐эксперты и компании рассматривают такие скрипты как малварь, а компания Cloudflare уже и вовсе перешла к активным действиям и начала блокировать такие сайты. Впрочем, легитимное применение майнингу через браузеры тоже уже нашлось. К примеру, майнер Coinhive встроили в браузерное расширение Iridium, однако его разработчики уведомили об этом пользователей, предос‐ тавив им возможность отключить майнер при желании. Похожим образом поступили и операторы закрытого торрент‐трекера PublicHD. Пользователям ресурса предложили не просто майнить Monero на благо администраторов, но и поднимать таким образом свой рейтинг на трекере, то есть работа майнера зачтется бонусом к отданному и под‐ нимет upload credit. В конце сентября 2017 года сервисов для браузерного майнинга нас‐ читывалось совсем немного и большинство сайтов предпочитали услуги Coinhive, но спустя месяц ситуация кардинально поменялась. Первым кон‐ курентом Coinhive стал аналогичный сервис Crypto‐Loot, который тоже пред‐ лагает операторам сайтов встроить в код страниц JavaScript и «копать» Mon‐ ero, используя компьютеры пользователей. Впрочем, Crypto‐Loot имеет существенное преимущество. Если Coinhive забирает себе 30% дохода, оставляя владельцам сайтов лишь 70%, то Crypto‐Loot просит только 12% дохода, то есть операторам сайтов остается 88%. Также, помимо Coinhive и Crypto‐Loot, уже заработали сервисы MineMy‐ Traffic и JSEcoin, ИБ‐специалист Трой Марш (Troy Mursch) обнаружил два китайских клона Coinhive (Coin Have и PPoi), а эксперты Microsoft нашли сер‐ висы CoinBlind и CoinNebula. Два последних сервиса даже не имеют собс‐ твенных сайтов и, судя по всему, ориентированы исключительно на хакерский андеграунд и нелегальное использование. Похоже, число майнинговых сер‐ висов и дальше продолжит увеличиваться в геометрической прогрессии. При этом «пальму первенства» все еще весьма уверенно удерживает Coinhive, хотя назвать его наиболее надежным уже вряд ли возможно. Дело в том, что в конце октября сервис подвергся кибератаке. Неизвестные злоумышленники сумели проникнуть в аккаунт Cloudflare, принадлежащий Coinhive, где изменили настройки DNS для coinhive.com. В результате скрипт coinhive.min.js загружался с сервера злоумышленников, и эта модифицированная версия похищала все хеши пользователей, то есть Monero получали взломщики, а не владельцы сайтов, где работает скрипт. Атака продолжалась около шести часов, сколько за это время успели «заработать» злоумышленники, не сообщается. Представители Coinhive не стали скрывать, как именно злоумышленники узнали учетные данные от аккаунта Cloudflare. ИБ‐специалисты не устают пов‐ торять, что повторное использование паролей — это очень плохая практика, однако их никто не слушает. Так произошло и в этом случае. Операторы сер‐ виса полагают, что пароль, который компания использовала для Cloudflare, попал в открытый доступ еще в 2014 году, во время крупной утечки поль‐ зовательских данных с Kickstarter. По итогам инцидента компания заверила, что «усвоила трудный урок», и компенсировала убытки всем пострадавшим. Невзирая на случившееся, Coinhive не утратил своей популярности, поэто‐ му ИБ‐специалисты запустили специальный сайт WhoRunsCoinhive, на котором можно проверить, какие ресурсы применяют скрипты Coinhive. Однако проблемными теперь могут оказаться не только сами сайты. Скрытые майнеры уже были адаптированы к формату плагинов для Word‐ Press. В официальном репозитории можно было найти как минимум два таких решения: Simple Monero Miner — Coin Hive и Coin Hive Ultimate Plugin. Вскоре после их появления позицию по данному вопросу озвучили администраторы официального репозитория плагинов WordPress.org. Они тоже высказались против майнеров и заявили, что один плагин уже был блокирован именно из‐за наличия майнера в коде. Тем временем специалисты Trend Micro и вовсе сообщили, что им удалось обнаружить майнинговые скрипты в составе трех приложений для Android. Причем приложения Recitiamo Santo Rosario Free и SafetyNet Wireless App были свободно доступны в официальном каталоге Google Play. Очевидно, все проверки безопасности Google не сумели выявить, что программы запускают майнер в фоновом режиме, с помощью WebView. Третье приложение обхо‐ дилось без WebView, но использовало библиотеку CPUminer, то есть майнило даже без открытия браузера. Исследователи Trend Micro с тревогой отметили, что приложениям не нуж‐ но запрашивать никаких дополнительных разрешений для такой активности, а сама работа майнера может провоцировать перегрев устройства, зна‐ чительно сокращать «срок жизни» батареи и, разумеется, сказываться на производительности девайса. Стоит сказать, что от браузерного майнинга защищают практически все антивирусные продукты и блокировщики рекламы, запрещающие работу скриптов. Также в Chrome Web Store можно найти специальные «противомай‐ нинговые» расширения. Плюс ко всему пользователь всегда может самос‐ тоятельно отключить JavaScript или установить соответственные расширения для браузера (к примеру, NoScript и ScriptBlock).