Мы постараемся ответить на эти вопросы максимально просто.

Введение

Первый вопрос, который кажется нам наиболее уместным - а как это получилось? Как преступникам удалось добраться до серьезных сайтов правительств? Учтем в качестве детали, что владельцы ресурсов, само собой, не ставили никаких скриптов для майнинга криптовалюты на своих сайтах. Но по чьей вине это все же произошло? Оказалось, все дело в небольшом плагине Wordpress Browsealoud, который использовался более чем на четырех тысячах сайтов и за 4 часа распространился в качестве вредоносной копии.

Подробный механизм атаки

Криптоджекинг

Сайты, подвергшиеся атаке криптоджекинга, имели одну общую особенность: все они загрузили установочный файл с неофициального ресурса. Поскольку скрипт был загружен из непроверенного источника, сайты стали уязвимы к инъекционным типам атаки. Если файл jQuery был загружен напрямую из сети CDN злоумышленников, сайт моментально подвергался нападению эксплойтов. 

Киберпреступникам такая ситуация на руку, поскольку в этом случае они могут атаковать постоянно обновляющиеся библиотеки. И вы не сможете быть уверенными на сто процентов, что спустя время какой-то другой провайдер не будет использован как инструмент для инъекций. Именно зараженный плагин заставил сайты правительств заниматься майнингом. 

Что же делать 

Есть несколько вариантов защиты от криптоджекинга:

  • Установка атрибутов SRI к сценарию, загружающему скрипты извне.
  • Добавление специального защитного механизма CSP, позволяющего защититься от внедрения содержимого на сайт.

Правда, эти подходы имеют ряд минусов. Скрипт зависимости должен постоянно обновляться, к тому же тот же CSP, например, может только запретить загрузку JavaScript из внешнего источника, но он не проверяет содержимое сценариев. Поэтому пытаться использовать белые списки сайтов в качестве основы - сомнительная идея. Опытный хакер наверняка знает лазейки в этом механизме. Например, он установит источник инъекции на одном из сайтов в белом списке и история повторится. 

Решение постоянным сканированием

Защита сайта от майнинга

Если у вас нет стопроцентного варианта для предотвращения вредоносных инъекций на сайт, вашим выходом может стать мониторинг в реальном времени. Это позволяет среагировать сразу же при обнаружении угрозы. Если вы контролируете среду JavaScript и DOM, сайт сразу же проинформирует вас с помощью специальной технологии webhook. 

Подобная технология может свободно противостоять даже угрозам нулевого дня. Аномалия будет обнаружена, команда безопасников будет быстро уведомлена о случившемся и инъекционный код будет удален. При таком подходе вы даже извлечете дополнительную выгоду из этой ситуации - сразу будет видно, куда была произведена атака и вы сможете закрыть бреши в защите. 

Ранее было сказано, что этот подход позволит противостоять даже угрозам нулевого дня. Это было доказано экспериментальным путем: на тестируемый сайт внедрялся Embedded Agent, мониторивший DOM. Целью была демонстрация противостояния подобной кибер-атаке. Подробный отчет о результатах вы можете увидеть в видео внизу статьи. 

Кратко о выводах

Защита сайта

Самыми эффективными решениями для предотвращения хакерских атак стали именно те, где контроль проходил в режиме реального времени. Это крайне эффективный инструмент в сравнении с теми же SRI и CSP, которые легче обойти. Рапорт об атаке происходит сразу после обнаружения угрозы сообщением на сервер. Это дает вам самое главное преимущество - время. 

Поскольку сегодня криптовалюты приобретают все большее значение и популярность, кибернетические преступники тоже сменили “род деятельности” - их атаки все больше приносят не явный вред, а заставляют пользовательские компьютеры добывать для злоумышленников криптовалюту. Пользователь становится “рабом”, добывающим деньги для хакера. 

Для наглядности можно привести пример с подобного рода атаками на всем известные проекты типа The Pirate Bay и Showtime. Эти происшествия говорят нам о том, что криптоджекинг очень выгоден для преступников. Особенно привлекает мошенников использование сторонних приложений и дополнений, которые используют популярные сайты - это позволяет нанести удар одновременно по большому количеству ресурсов. 

По мнению аналитиков, изобретательность и количество подобного рода атак будут только расти. В этот раз злоумышленники при внедрении кода сосредоточились исключительно на майнинге средств за счет другого человека. Но они могут также начать собирать конфиденциальные данные. Значит, мы вполне можем ожидать в качестве следующего шага не только использование компьютера пользователя для майнинга, но и сбор информации о кредитных картах, которыми пользовались посетители.

Защита от киберугрозы такого уровня во многом будет зависеть от уровня предварительной подготовки владельцев сайтов. Поэтому будьте всегда начеку, оценивайте все возможные последствия и используйте современные методики для противостояния.