Nov incident: nekdo je služil s spletno stranjo slovenskega ministrstva

Večina prevarantov, ki na spletne strani podtikajo skripte za rudarjenje kriptovalut, za to uporablja platformo sicer povsem legitimnega podjetja Coinhive. Ta od vsakega uporabnika svoje rudarske skripte vzame 30-odstotni delež kriptovalute monero, ki jo stranka zasluži s pomočjo obiskovalcev svoje spletne strani. Rudarske skripte Coinhive so zaradi preprostosti uporabe na spletu daleč najpogostejše, se pa najdejo tudi skopuhi, ki jim je plačilo podjetju Coinhive odveč in raje naredijo svojo skripto ali pa preprosto ukradejo ter predelajo Coinhivovo. Foto: Thinkstock

Nov kibernetski napad z vsiljevanjem programske kode, ki zapreže računalnik obiskovalca spletne strani in z njim rudari kriptovalute, rečemo ji lahko tudi rudarska skripta, je razkril ameriški strokovnjak za informacijsko varnost Troy Mursch. 

Vse, kar morate vedeti o rudarskih skriptah, na enem mestu

Napadalci so izkoristili ranljivost v Drupalu, sistemu za upravljanje vsebin na spletni strani ali tako imenovanem CMS (Content Management System). Prek ranljivosti so napadalci pridobili možnost urejanja programske kode spletne strani in nanjo podtaknili rudarsko skripto, je na svojem blogu pojasnil Mursch.

Ta se je pognala vsakič, ko je nekdo obiskal spletno stran, in s pomočjo njegovega računalnika za napadalce na skrivaj začela rudariti kriptovaluto monero. Če je imel obiskovalec spletne strani dovolj hiter računalnik, morda sploh ni opazil, da se dogaja nekaj sumljivega. Skripta je bila namreč nastavljena tako, da njegovega računalnika ni obremenila stoodstotno, temveč okrog 80-odstotno.

Prikrito rudarjenje lahko močno upočasni uporabnikov računalnik ali pametni telefon, drugega lahko v skrajnem primeru celo fizično poškoduje (kliknite na fotografijo za članek). Takšno rudarjenje načeloma ni sporno, če je tisti, ki ga izvaja, o tem iskren in uporabniku ob prihodu na spletno stran ponudi možnost, da ga zavrne, ali pa skripto prilagodi tako, da rudarjenje uporabnikov računalnik obremeni samo nekaj desetodstotno. A internetni goljufi za to pogosto ne skrbijo ter skripte in z njimi računalnike uporabnikov "navijejo do konca".  Foto: Matic Tomšič

Mursch je izdal seznam 350 spletnih strani, na katerih je z uporabo orodja PublicWWW, ki omogoča iskanje točno določenih skript na vseh javno objavljenih spletnih straneh, našel sporno rudarsko skripto.

Med njimi je bilo precej spletnih strani znanih podjetij, organizacij in ustanov: proizvajalec elektronike Lenovo, živalski vrt v San Diegu, precej spletišč lokalnih vlad in univerz v ZDA, Franciji, Nemčiji, Rusiji, če jih naštejemo samo nekaj.  Foto: zajem zaslona/Diamond villas resort

Med več kot tristo spletnimi stranmi tudi dve slovenski žrtvi

Med prizadetimi spletnimi stranmi sta na seznamu tudi dve slovenski.

Prvi je bila že nekaj časa neaktivna spletna stran aktivistov proti zavrženi hrani Volk sit, koza cela. Druga pa gu-signal.si, spletna stran omrežja SIGNAL, državne geoinformacijske infrastrukture, katere lastnik je prek Geodetske uprave Republike Slovenije slovensko ministrstvo za okolje in prostor. 

Kot je razvidno na spletni strani register.si, ki ponuja vpogled v javne informacije o spletnih domenah, je nosilec gu-signal.si Geodetska uprava Republike Slovenije, ki deluje v okviru MOP, ministrstva za okolje in prostor. Foto: zajem zaslona/Diamond villas resort

Ali je spletna stran gu-signal.si še vedno okužena z rudarsko skripto, smo preverili s preprostim preizkusom.

V operacijskem sistemu Windows smo odprli orodje Upravitelj opravil (bližnjica na tipkovnici Ctrl + Shift + Esc) in preklopili na zavihek učinkovitost delovanja. Nato smo odprli spletno stran gu-signal.si in obremenitev procesorja v našem računalniku je takoj poskočila za 80 odstotkov.

Procesor je nehal sopihati šele, ko smo zaprli spletno stran gu-signal.si. 

Z rdečo smo obkrožili trenutek, ko smo v spletnem brskalniku odprli spletno stran gu-signal.si in na njej nato vztrajali nekaj deset sekund. V grafu na desni se dobro vidi, kako je rudarska skripta na spletni strani obremenjevala procesor. Foto: Matic Tomšič

Takojšnjo spremembo obremenitve procesorja v našem računalniku ob obisku spletne strani gu-signal.si si lahko ogledate še v spodnjem videoposnetku:

Upravljavce spletne strani gu-signal.si in Geodetsko upravo Republike Slovenije smo o odkriti rudarski skripti obvestili že pred objavo tega prispevka.

Za Siol.net so sporočili, da so spletno stran takoj začasno umaknili, da lahko nadgradijo sistem za urejanje vsebin Drupal in odstranijo omenjeno rudarsko skripto.

Trenutno poteka vzdrževanje, je zapisano na spletni strani gu-signal.si. Foto: Matic Tomšič
Zagotovili so nam tudi, da spletna stran gu-signal.si podobnega ali kakršnegakoli drugega kibernetskega vdora do zdaj še ni zabeležila. 

Preberite tudi:

Pozor: Vaše računalnike napadajo z novo nizkotno taktiko. Kaj morate vedeti?

Slovenska vlada se je izognila napadu, drugje niso imeli take sreče