При помощи компьютеров посетителей сайта хакеры майнили криптовалюты

Пользователи, открывшие сайты Управления комиссара по информации, Компании по студенческим кредитам, городского совета Манчестера, Камдена и Кройдона — и даже главную страницу Судов Соединенных Штатов — предоставили хакерам возможность украсть вычислительные мощности их компьютеров.

Вредоносный код для программного обеспечения под названием «Coinhive» — программа, представляющая себя «Майнером криптовалют для вашего сайта» — запускалась в фоновом режиме до закрытия страницы.

Специалист по вопросам безопасности Скотт Хелме узнал об атаке от друга, отправившего ему предупреждение от антивирусной программы, полученное после посещения сайта британского правительства.

«Этот тип атаки —  не новый, но самый масштабный из всех, что я видел. Атака даже на одну компанию влечет за собой заражение сотен сайтов в Великобритании, Ирландии и Соединенных Штатах, — говорит Хелме, — Недавно кто-то сообщил мне, что сайт местного правительства в Австралии тоже инфицирован этой программой».

Скрипт Coinhive был вставлен в популярный сторонний плагин «BrowseAloud», помогающий получить доступ к сайту для слепых людей и людей с проблемами зрения.

Компания Texthelp, разработавшая небезопасный плагин BrowserAloud, подтвердила Sky News атаку на свое  программное обеспечение в 11.14 утра в воскресенье, которая длилась четыре часа. На данный момент программа отключена — это продлится до полудня вторника.

«Texthelp постоянно проводит автоматические проверки безопасности для Browsealoud, в следствие чего и был обнаружен измененный файл, а затем и отключен плагин. Учитывая риск, Browsealoud был немедленно удален со всех сайтов наших клиентов без каких-либо действий с их стороны» — заявил сотрудник по вопросам безопасности данных Texthelp Мартин МакКей.

Также, Texthelp сообщает, что данные клиентов не были разглашены или потеряны. Мистер МакКей объявил о независимом консультировании по вопросам безопасности для анализа систем компании.

Мистер Хелме утверждает, что в отличие от биткоина, адреса кошельков которого хранятся в публично доступной базе данных, в данном случае невозможно установить местоположение аккаунта, использующего код в своих интересах. Однако он добавил, что от атаки можно было легко защититься.

«У каждого отдельного подконтрольного сайта, который я контролирую, был «Атрибут целостности» — крошечное изменение в способе загрузки скрипта, введенное именно из-за моих опасений по поводу такой ситуации» — заявил Хелме.

Как стало известно Sky News, некоторые из атакованных сайтов, например сайт Управления комиссара по безопасности, сейчас отключены, пока их IT-команды пытаются решить проблему. Sky News связывались с Национальным центром кибер-безопасности, который подтвердил, что его сотрудники исследуют этот инцидент.

«Технические эксперты исследуют данные, включая случаи использовании вредоносного ПО для незаконной добычи криптовалют. Зараженные сайты сейчас переведены в режим оффлайн, что значительно смягчило проблему. Правительственные сайты продолжают работать в безопасном режиме. На данный момент нет признаков угрозы для их пользователей» — заявил представитель цента кибер-безопасности.