Torek, 8. 5. 2018, 17.48
6 let, 7 mesecev
Nov incident: nekdo je služil s spletno stranjo slovenskega ministrstva
Napadenih je bilo več sto spletnih strani javnih organizacij, kot so vladne agencije, zdravstvene in finančne ustanove, šolstvo. Napadalci so na spletne strani pretihotapili programsko kodo, ki s pomočjo uporabnikovega računalnika na skrivaj rudari kriptovalute in jih nakazuje na njihov račun. Ugotovili smo, da je med njimi tudi hčerinska spletna stran Geodetske uprave Republike Slovenije.
Večina prevarantov, ki na spletne strani podtikajo skripte za rudarjenje kriptovalut, za to uporablja platformo sicer povsem legitimnega podjetja Coinhive. Ta od vsakega uporabnika svoje rudarske skripte vzame 30-odstotni delež kriptovalute monero, ki jo stranka zasluži s pomočjo obiskovalcev svoje spletne strani. Rudarske skripte Coinhive so zaradi preprostosti uporabe na spletu daleč najpogostejše, se pa najdejo tudi skopuhi, ki jim je plačilo podjetju Coinhive odveč in raje naredijo svojo skripto ali pa preprosto ukradejo ter predelajo Coinhivovo.
Nov kibernetski napad z vsiljevanjem programske kode, ki zapreže računalnik obiskovalca spletne strani in z njim rudari kriptovalute, rečemo ji lahko tudi rudarska skripta, je razkril ameriški strokovnjak za informacijsko varnost Troy Mursch.
Vse, kar morate vedeti o rudarskih skriptah, na enem mestu
Napadalci so izkoristili ranljivost v Drupalu, sistemu za upravljanje vsebin na spletni strani ali tako imenovanem CMS (Content Management System). Prek ranljivosti so napadalci pridobili možnost urejanja programske kode spletne strani in nanjo podtaknili rudarsko skripto, je na svojem blogu pojasnil Mursch.
Ta se je pognala vsakič, ko je nekdo obiskal spletno stran, in s pomočjo njegovega računalnika za napadalce na skrivaj začela rudariti kriptovaluto monero. Če je imel obiskovalec spletne strani dovolj hiter računalnik, morda sploh ni opazil, da se dogaja nekaj sumljivega. Skripta je bila namreč nastavljena tako, da njegovega računalnika ni obremenila stoodstotno, temveč okrog 80-odstotno.
Mursch je izdal seznam 350 spletnih strani, na katerih je z uporabo orodja PublicWWW, ki omogoča iskanje točno določenih skript na vseh javno objavljenih spletnih straneh, našel sporno rudarsko skripto.
Med njimi je bilo precej spletnih strani znanih podjetij, organizacij in ustanov: proizvajalec elektronike Lenovo, živalski vrt v San Diegu, precej spletišč lokalnih vlad in univerz v ZDA, Franciji, Nemčiji, Rusiji, če jih naštejemo samo nekaj.
Med več kot tristo spletnimi stranmi tudi dve slovenski žrtvi
Med prizadetimi spletnimi stranmi sta na seznamu tudi dve slovenski.
Prvi je bila že nekaj časa neaktivna spletna stran aktivistov proti zavrženi hrani Volk sit, koza cela. Druga pa gu-signal.si, spletna stran omrežja SIGNAL, državne geoinformacijske infrastrukture, katere lastnik je prek Geodetske uprave Republike Slovenije slovensko ministrstvo za okolje in prostor.
Kot je razvidno na spletni strani register.si, ki ponuja vpogled v javne informacije o spletnih domenah, je nosilec gu-signal.si Geodetska uprava Republike Slovenije, ki deluje v okviru MOP, ministrstva za okolje in prostor.
Ali je spletna stran gu-signal.si še vedno okužena z rudarsko skripto, smo preverili s preprostim preizkusom.
V operacijskem sistemu Windows smo odprli orodje Upravitelj opravil (bližnjica na tipkovnici Ctrl + Shift + Esc) in preklopili na zavihek učinkovitost delovanja. Nato smo odprli spletno stran gu-signal.si in obremenitev procesorja v našem računalniku je takoj poskočila za 80 odstotkov.
Procesor je nehal sopihati šele, ko smo zaprli spletno stran gu-signal.si.
Z rdečo smo obkrožili trenutek, ko smo v spletnem brskalniku odprli spletno stran gu-signal.si in na njej nato vztrajali nekaj deset sekund. V grafu na desni se dobro vidi, kako je rudarska skripta na spletni strani obremenjevala procesor.
Takojšnjo spremembo obremenitve procesorja v našem računalniku ob obisku spletne strani gu-signal.si si lahko ogledate še v spodnjem videoposnetku:
Upravljavce spletne strani gu-signal.si in Geodetsko upravo Republike Slovenije smo o odkriti rudarski skripti obvestili že pred objavo tega prispevka.
Za Siol.net so sporočili, da so spletno stran takoj začasno umaknili, da lahko nadgradijo sistem za urejanje vsebin Drupal in odstranijo omenjeno rudarsko skripto.
Trenutno poteka vzdrževanje, je zapisano na spletni strani gu-signal.si.
Zagotovili so nam tudi, da spletna stran gu-signal.si podobnega ali kakršnegakoli drugega kibernetskega vdora do zdaj še ni zabeležila.
Preberite tudi:
Pozor: Vaše računalnike napadajo z novo nizkotno taktiko. Kaj morate vedeti?
Slovenska vlada se je izognila napadu, drugje niso imeli take sreče
1