Cryptocurrency Hack: LA Times Spätestes mutmaßliches Cryptojacking-Opfer

Ein unbekannter Hacker oder eine Gruppe von Hackern haben heimlich Codezeilen in die Los Angeles Zeiten Server, um die CPU-Ressourcen der Publikation zu erschließen und die Kryptowährung Monero zu ermitteln.

Dieser Kompromiss der Website der Nachrichtenorganisation wurde am Mittwoch von Troy Mursch, einem Sicherheitsforscher bei Bad Packets Report, entdeckt. Der Code, den er fand, war ein verschleiertes Coinhive-Skript, ein Unternehmen für Kryptowährungs-Mining, das Benutzern einen JavaScript-Miner bietet, um Websites zu monetarisieren. Der Bergmann wurde seitdem entfernt.

Während diese unübliche Methode des Abbaus von Kryptowährung für manche als neuartig erweisen könnte, zeigt dieser jüngste Angriff, bekannt als Cryptojacking, wie er böswillig verwendet werden kann, um die gleiche Art von Angriff wieder herzustellen, dem Tesla und Google Chrome kürzlich zum Opfer gefallen sind.

#Coinhive auf @latimes gefunden "The Homicide Report"

Glücklicherweise wird dieser Fall von #cryptojacking gedrosselt und Ihre CPU wird nicht ermordet.

Mit @urlscanio finden wir Coinhive in:

http: //latimes-graphics-media.s3.amazonaws. de / js / leaflet.fullscreen-master / Control.FullScreen.js pic.twitter.com/VOv5ibUtwJ

- Bericht über schlechte Pakete (@bad_packets) 21. Februar 2018

Die Crux von dem, was den LA Times Bei diesem Angriff wurde eine Fehlkonfiguration auf dem Amazon AWS S3-Server (S3-Bucket) genannt, die von der Veröffentlichung verwendet wird. Nachdem Mursch sich um den Server gekümmert hatte, sagte er, dass er jedem die Möglichkeit gebe, einfach seine eigenen Codezeilen in den Server einzufügen.

Der britische Forscher für Informationssicherheit, Kevin Beaumont, hob hervor, dass dies ein weit verbreitetes Problem bei einer großen Anzahl von S3-Buckets ist, von denen bekannt ist, dass sie öffentlich lesbar sind. Dies bedeutet, dass jeder den zugrundeliegenden Code anzeigen kann, ihn jedoch nicht bearbeiten kann. Es genügt jedoch eine einfache Fehlkonfiguration, und jeder, der online ist, kann lesen und schreibe in sie.

Das Problem besteht nicht nur in öffentlich lesbaren S3-Buckets, sondern auch in Es ist eine Tüte Feuerwerkskörper, die darauf warten, loszulegen (siehe auch, was beim Öffnen von MongoDB-Instanzen geschah).

- Kevin Beaumont (@GossiTheDog), 20. Februar 2018

Beaumont fand sogar eine freundliche Warnung im LA Times S3-Bucket, der die Veröffentlichung warnte, dass der Server im Wesentlichen für die Öffentlichkeit zugänglich war.

„Hallo, dies ist eine freundliche Warnung, dass Ihre Amazon AWS S3-Bucket-Einstellungen falsch sind. Jeder kann in diesen Eimer schreiben. Bitte beheben Sie dies, bevor ein Bösewicht es findet “, erklärte die Nachricht.

Leider kam diese freundliche Hacker-Nachricht nicht rechtzeitig zum Vorschein und wenn Beaumonts eigene Warnung zutrifft, gibt es viele Server, die Monero unwissentlich abbauen oder für andere schändliche Zwecke verwendet werden könnten.

Wenn Sie die Server von Amazon verwenden, sollten Sie die Einstellungen am besten überprüfen.