Вирус-майнер заражает российские сайты
Вирус майнер на Tipler.Ru
К нам в редакцию пришло письмо от веб-студии It-Infinity, в котором сообщалось, что сайт Tipler оказался заражен подобным «криптовалютным вирусом»:
«Здравствуйте. Наша компания занимается анализом проблемы распространения вредоносного программного обеспечения, которе позволяет злоумышленникам незаметно для посетителя сайта «майнить» криптовалюту, используя ресурсы его компьютера. К сожалению, Ваш сайт tipler.ru оказался в списке заражённых».
Далее указывалась ссылка на каталог с вредоносным файлом. Удалить его можно было самостоятельно, что мы немедленно и сделали, после чего сменили пароли и установили все последние обновления.
Конечно же, мы вступили в переписку с аналитиками из It-Infinity, чтобы узнать побольше о подобных вирусах, а потом взяли интервью у директора веб-студии Виктора Карионова. Мы попросили его рассказать о том, как его команда впервые столкнулась с данной проблемой, как работает вирус и каковы масштабы заражения.
Предоставляем слово Виктору.
Разгул вируса майнера в России
4 Июля 2018 года к нам обратился клиент для проведения запланированных работ на его сайте. В процессе обсуждения плана работ мы обратили внимание на странную анимацию в нижнем правом углу экрана.
Нажав на неё, мы попали на сайт https://www.sparechange.io/faq/, на котором были пояснения, что данная анимация означает работающий на сайте майнер. Какого же было наше удивление, когда заказчик сообщил нам, что не ставил никакие майнеры себе на сайт. Естественно он попросил нас разобраться с проблемой.
Мы быстро нашли подключенные к сайту JavaScript файлы. Первый отвечал за подключение майнера, второй был обфусцирован (зашифрован) и логика его работы нам до конца не понятна.
Если удалить эти файлы, то в течении суток они появлялись вновь. Это была только вершина айсберга. Мы понимали, что где-то расположен web shell (скрипт, который позволяет полностью менять все файлы и выполнять произвольные команды на стороне сервера). Просканировав сайт программой AiBolit, мы нашли этот шелл, а также файл backdoor’а, при обращении к которому через браузер с определёнными параметрами он авторизовался на атакуемом сайте под учётной записью администратора.
Интересный факт, в файлах, добавленных злоумышленниками, в комментариях был текст: «Аудит безопасности вашего сайта всего за 1 xmr Устраним существующие уязвимоти Дадим рекомендации по организации работы Пишите на электронную почту:rpufbhfe@10mail.org» (орфография сохранена).
К сожалению, пострадало большое количество сайтов, среди которых были сайты банков, СМИ, крупных именитых ритейлеров, государственные и много других. В целях конфиденциальности и по просьбе служб безопасности, мы решили не публиковать данный список.
Что касается самого сервиса sparechange.io, то это вполне легальный майнер, который позволяет администраторам, разместив его на своём сайте, зарабатывать на своих посетителях (например вместо рекламы). Скорее всего, когда злоумышленники начали использовать его, он работал по-тихому, без всяких анимаций. В текущих версиях он проявляет себя при помощи анимации, уведомляя пользователя о своей работе.
Примечательно, что майнер начинал работать не сразу и не на всех сайтах. Где-то он включался сразу, где-то спустя время, а где-то вовсе никак не проявлял активность. Во время работы самого майнера, нагрузка на CPU (центральный процессор) вырастала до 90%-100%.
Подвержены ли другие сайты, не относящиеся к 1С-Битрикс такой проблеме? Да, ответ однозначный. Мы в связи со спецификой позиционирования своей студии работаем только с платформой 1С-Битрикс, и найденная нами схема атаки была адаптирована именно под данную платформу, но ничего не мешает злоумышленникам организовать атаку на любую другую CMS.
Мы провели большую работу по изучению логов атакованных сайтов с целю выявления причин и способов атаки и заражения сайтов. На основе полученной информации мы пришли к выводу, что причина банальна – безответственное поведение администраторов сайтов в отношении политики безопасности. Пароли украдены непосредственно с компьютеров администраторов при помощи вирусного ПО. На самом деле наше расследование завершено не до конца, к нему подключились коллеги из компании ITSOFT.
Они являются не только веб студией, но и дата-центром. Сейчас их служба безопасности занимается изучением схемы распространения вредоносного программного обеспечения.
Наша студия в данный момент занимается поиском новых заражённых сайтов и уведомлением администраторов этих сайтов, а также коллег из других веб студий с целью устранения выявленных проблем. Нами разработан веб сервис, который позволит владельцам сайтов на платформе 1С-Битрикс узнать, заражён ли их сайт –https://itinfinity.ru/servisy/minercheck/. Также мы готовы помочь владельцам сайтов в устранении последствий атаки и проведении аудита безопасности.
В заключении хочу напомнить в 1000 раз всем, кто работает с сайтами на правах администратора о том, что пароли нужно хранить в проверенных менеджерах паролей, использовать только сложные пароли, созданные при помощи соответствующих генераторов, и не пренебрегать антивирусами. К сожалению, об этом забывают как владельцы сайтов, так и разработчики. https://tipler.ru/opinions/virus-mayner-zarazhaet-...