CoinHive je zatiaľ najšikovnejší spôsob, ako hackeri zarábajú peniaze
Pred niekoľkými dňami ste mohli zaznamenať, že portál 3Digital.sk zverejnil zvláštne názvy článkov, akoby v nich nastala nejaká technická chyba. Niektorým z vás sa dokonca mohlo stať, že sa ozval váš antivírusový program a upozornil vás, že zabránil stiahnutiu škodlivého kódu. Náš web, rovnako ako milióny iných po celom svete, sa stal terčom útoku takzvaného […]
30. januára 2018
Bezpečnosť, Bitcoin, Bitcoin miner, CoinHive, Editoriál, Odporúčané, Softvér, web, Web miner
Pred niekoľkými dňami ste mohli zaznamenať, že portál 3Digital.sk zverejnil zvláštne názvy článkov, akoby v nich nastala nejaká technická chyba. Niektorým z vás sa dokonca mohlo stať, že sa ozval váš antivírusový program a upozornil vás, že zabránil stiahnutiu škodlivého kódu. Náš web, rovnako ako milióny iných po celom svete, sa stal terčom útoku takzvaného CoinHive.
CoinHive je výsledok enormne rýchlej evolúcie škodlivých kódov, ktorými hackeri mienia získavať peniaze. Doteraz bol populárny a mimoriadne rozšírený kryptomalvér, ktorý zablokoval údaje vo vašom počítači a následne od vás vyžadoval výkupné, aby ich odblokoval. Ak ste zaplatili, dočasne ste sa k údajom dostali, avšak bez garancie, že sa rovnaký problém nezopakuje hoci o hodinu neskôr. Tento spôsob zarábania peňazí sa ukázal ako výnosný, ale neefektívny – pomerne malé množstvo obetí to výkupné aj zaplatilo. Preto si najlepší hackeri sveta našli efektívnejší spôsob, akým budú zarábať – dokonca tak, že o tom samotný používateľ ani nebude vedieť – takzvaný bitcoin miner.
Bitcoin miner alebo aj Web mining je najnovší trend a vrchol vývoja škodlivých kódov, vírusov, malvérov a všetkého toho, čoho sa bežní používatelia elektroniky právom boja. 3Digital.sk sa stal spoločne s ďalšími webmi, ktoré bežia na systéme WordPress, obeťou práve tohto útoku. Škodlivý „program“ sa volá CoinHive a funguje tak, že ho zvyčajne ani nie je možné pozorovať.
Napadnutým webovým stránkam do každého jedného článku, nadpisu či perexu vloží kód na stiahnutie súboru, ktorého inštalácia potom prebehne bez vedomia používateľa. Ten si iba prezerá internet a jeho počítač sa stáva jedným z miliónov, ktoré postupne ťažia bitcoiny. Pre samotného používateľa to v podstate ani nie je hrozba, v skutočnosti je iba zneužívaný výkon jeho počítača na to, aby pomocou neho hacker dosahoval svoje ciele.
Ako sme vyriešili infikovaný web?
Na to, že bol náš web infikovaný, sme prišli prakticky ihneď. Hoci niektorí návštevníci (za tých pár minút ich bolo niekoľko stoviek), nezasiahol výraznejšie množstvo návštevníkov. Zaujímavosťou HiveCoin bolo, že zasiahol a upravil každý jeden článok v databáze. Niečo neuveriteľné.
Ak nemáte zálohovanú databázu a potýkate sa s rovnakým problémom, riešenie situácie bude oveľa komplikovanejšie. CoinHive totiž nepridáva scripty na stiahnutie škodlivého programu formou nejakého pluginu na frontend, ale script zapisuje priamo do databázy. Ak máte všetky polia v databáze prepísané, môžete sa tešiť na frustrujúcu otravnú prácu s mazaním scriptov alebo jednoducho web prestavať nanovo.
Vďaka tomu, že spoločnosť Websupport neustále zálohuje nielen webový obsah svojich klientov, ale aj databázy, sme vedeli bez straty jediného príspevku obnoviť zdravú databázu a podniknúť ďalšie kroky k tomu, aby sme prípadným ďalším útokom odolali. Podstatné je zmeniť si všetky heslá, aktualizovať bezpečnostné záplaty od WordPressu, pluginov a takisto aj samotných počítačov s Windowsom, z ktorých sa k webu pristupuje. Dôležité je aktualizovať aj všetky údaje pre FTP prístupy a dôsledne nechať antivírusový program skontrolovať počítač.
Ak sa o CoinHive a web miner zaujímate viac, prečítajte si napríklad tento článok na blogu Kaspersky Lab.