Cryptocurrency Hack: LA Times Laatste vermeende Cryptojacking Slachtoffer

Een onbekende hacker of een groep hackers heeft stiekem regels met code ingevoegd in de Los Angeles Times server om gebruik te maken van de CPU-bronnen van de publicatie en de cryptocurrency Monero te ontginnen.

Dit compromis van de website van de nieuwsorganisatie werd aanvankelijk gespot op woensdag door Troy Mursch, een beveiligingsonderzoeker bij Bad Packets Report. De code die hij vond was een versperd Coinhive-script, een cryptocurrency-mijnbedrijf dat gebruikers een JavaScript-mijnwerker biedt als een manier om geld te verdienen met websites. De mijnwerker is sindsdien verwijderd.

Hoewel deze onconventionele methode om cryptocurrency te mining voor sommigen nieuw zou kunnen zijn, laat deze nieuwste aanval, bekend als cryptojacking, zien hoe deze kwaadwillig kan worden gebruikt om hetzelfde type aanval na te bootsen als waarop Tesla en Google Chrome recent het slachtoffer zijn geworden.

#Coinhive gevonden op @latimes "The Homicide Report"

Gelukkig is dit geval van #cryptojacking gesmoord en zal het je CPU niet vermoorden.

Met @urlscanio vinden we Coinhive verstopt in:

http: //latimes-graphics-media.s3.amazonaws. com / js / leaflet.fullscreen-master / Control.FullScreen.js pic.twitter.com/VOv5ibUtwJ

- Bad Packets-rapport (@bad_packets) 21 februari 2018

De crux van wat leidde de LA Times om geraakt te worden door deze aanval was een verkeerde configuratie in de Amazon AWS S3-server - bekend als een S3-bucket - die de publicatie gebruikt. Na het graven rond de server, zei Mursch dat het iemand de mogelijkheid gaf om eenvoudig zijn eigen regels code in de server in te voegen.

De Britse informatiebeveiligingsonderzoeker Kevin Beaumont benadrukte dat dit een wijdverbreid probleem is met een groot aantal S3-emmers, waarvan bekend is dat ze voor het publiek leesbaar zijn. Dit betekent dat iedereen de onderliggende code kan bekijken, maar niet kan bewerken. Maar het enige dat nodig is, is een eenvoudige misconfiguratie en iedereen die online is zou kunnen lezen en schrijf er in.

Het probleem is niet alleen publiek leesbare S3-emmers, er is ook dit. Het is een zak vuurwerk dat wacht om te vertrekken (zie ook wat er gebeurde om MongoDB-instanties te openen).

- Kevin Beaumont (@GossiTheDog) 20 februari 2018

Beaumont was zelfs in staat om een ​​vriendelijke waarschuwing te vinden in de LA Times S3-bucket die de publicatie waarschuwde dat hun server in wezen open was voor het publiek.

"Hallo, dit is een vriendelijke waarschuwing dat je Amazon AWS S3 bucket-instelling verkeerd is. Iedereen kan naar deze bucket schrijven. Corrigeer dit voordat een slechterik het vindt, "verklaarde het bericht.

Helaas kwam de boodschap van deze vriendelijke hacker niet op tijd over en als de waarschuwing van Beaumont waar is, zijn er heel wat servers die onbewust Monero zouden kunnen exploiteren of voor andere schandelijke doeleinden zouden worden gebruikt.

Als u gebruikmaakt van de servers van Amazon, is het best een gewoonte om hun instellingen te controleren.