Вирус-майнер заражает российские сайты. Интервью с Виктором Карионовым⁠⁠

Перепост статьи с tipler.ru

Криптовалютная мания захватила многих, но для майнинга требуется огромное количество энергии, стоимость которой может оказаться выше, чем стоимость добытых виртуальных денег. Ловкие криптовалютчики выходят из положения с помощью хакерских программ. Подробности — в материале Tipler.Ru.

Вирус майнер на Tipler.Ru

К нам в редакцию пришло письмо от веб-студии It-Infinity, в котором сообщалось, что сайт Tipler оказался заражен подобным «криптовалютным вирусом»: «Здравствуйте. Наша компания занимается анализом проблемы распространения вредоносного программного обеспечения, которе позволяет злоумышленникам незаметно для посетителя сайта «майнить» криптовалюту, используя ресурсы его компьютера. К сожалению, Ваш сайт tipler.ru оказался в списке заражённых».

Далее указывалась ссылка на каталог с вредоносным файлом. Удалить его можно было самостоятельно, что мы немедленно и сделали, после чего сменили пароли и установили все последние обновления. Конечно же, мы вступили в переписку с аналитиками из It-Infinity, чтобы узнать побольше о подобных вирусах, а потом взяли интервью у директора веб-студии Виктора Карионова. Мы попросили его рассказать о том, как его команда впервые столкнулась с данной проблемой, как работает вирус и каковы масштабы заражения.

Предоставляем слово Виктору

Tipler: Скажите, пожалуйста, как Вы обнаружили проблему?

Виктор Карионов: 4 Июля 2018 года к нам обратился клиент для проведения запланированных работ на его сайте. В процессе обсуждения плана работ мы обратили внимание на странную анимацию в нижнем правом углу экрана.

Нажав на неё, мы попали на сайт https://www.sparechange.io/faq/, на котором были пояснения, что данная анимация означает работающий на сайте майнер. Какого же было наше удивление, когда заказчик сообщил нам, что не ставил никакие майнеры себе на сайт. Естественно он попросил нас разобраться с проблемой.

Tipler: В чем был источник проблемы? Как работал вирус?

Виктор Карионов: Мы быстро нашли подключенные к сайту JavaScript файлы. Первый отвечал за подключение майнера, второй был обфусцирован (зашифрован) и логика его работы нам до конца не понятна. Если удалить эти файлы, то в течении суток они появлялись вновь. Это была только вершина айсберга. Мы понимали, что где-то расположен web shell (скрипт, который позволяет полностью менять все файлы и выполнять произвольные команды на стороне сервера).

Просканировав сайт программой AiBolit, мы нашли этот шелл, а также файл backdoor’а, при обращении к которому через браузер с определёнными параметрами он авторизовался на атакуемом сайте под учётной записью администратора. Интересный факт, в файлах, добавленных злоумышленниками, в комментариях был текст: «Аудит безопасности вашего сайта всего за 1 xmr Устраним существующие уязвимоти Дадим рекомендации по организации работы Пишите на электронную почту:rpufbhfe@10mail.org» (орфография сохранена).

Tipler: Атаке подвержены все сайты? Каков масштаб проблемы?

Виктор Карионов: К сожалению, пострадало большое количество сайтов, среди которых были сайты банков, СМИ, крупных именитых ритейлеров, государственные и много других. В целях конфиденциальности и по просьбе служб безопасности, мы решили не публиковать данный список. Что касается самого сервиса sparechange.io, то это вполне легальный майнер, который позволяет администраторам, разместив его на своём сайте, зарабатывать на своих посетителях (например вместо рекламы). Скорее всего, когда злоумышленники начали использовать его, он работал по-тихому, без всяких анимаций. В текущих версиях он проявляет себя при помощи анимации, уведомляя пользователя о своей работе. Примечательно, что майнер начинал работать не сразу и не на всех сайтах. Где-то он включался сразу, где-то спустя время, а где-то вовсе никак не проявлял активность. Во время работы самого майнера, нагрузка на CPU (центральный процессор) вырастала до 90%-100%.

Tipler: Подвержены ли другие сайты, не относящиеся к 1С-Битрикс, такой проблеме?

Виктор Карионов: Да, ответ однозначный. Мы в связи со спецификой позиционирования своей студии работаем только с платформой 1С-Битрикс, и найденная нами схема атаки была адаптирована именно под данную платформу, но ничего не мешает злоумышленникам организовать атаку на любую другую CMS. Мы провели большую работу по изучению логов атакованных сайтов с целю выявления причин и способов атаки и заражения сайтов. На основе полученной информации мы пришли к выводу, что причина банальна – безответственное поведение администраторов сайтов в отношении политики безопасности. Пароли украдены непосредственно с компьютеров администраторов при помощи вирусного ПО. На самом деле наше расследование завершено не до конца, к нему подключились коллеги из компании ITSOFT. Они являются не только веб студией, но и дата-центром. Сейчас их служба безопасности занимается изучением схемы распространения вредоносного программного обеспечения.

Tipler: На каком этапе находится работа?

Найдено ли решение? Виктор Карионов: Наша студия в данный момент занимается поиском новых заражённых сайтов и уведомлением администраторов этих сайтов, а также коллег из других веб студий с целью устранения выявленных проблем. Нами разработан веб сервис, который позволит владельцам сайтов на платформе 1С-Битрикс узнать, заражён ли их сайт – https://itinfinity.ru/servisy/minercheck/. Также мы готовы помочь владельцам сайтов в устранении последствий атаки и проведении аудита безопасности.

Tipler: Хотите что-то добавить, порекомендовать админам?

В заключении хочу напомнить в 1000 раз всем, кто работает с сайтами на правах администратора о том, что пароли нужно хранить в проверенных менеджерах паролей, использовать только сложные пароли, созданные при помощи соответствующих генераторов, и не пренебрегать антивирусами. К сожалению, об этом забывают как владельцы сайтов, так и разработчики.