9.11.2018 13:05 | Bezpečnosť

Útočníci ovládli známy analytický nástroj. Chceli kradnúť bitcoiny

Päť modelov áut značiek Subaru obsahuje vážnu zraniteľnosť. Zlodeji ich môžu odomknúť
V súčasnosti nie je známe, koľko bitcoinov sa hackerom podarilo získať. Zdroj: Shutterstock‎

Škodlivý skript určený na krádež virtuálnej meny obsahovalo až 700-tisíc webov. Aktívny bol však len na jednom z nich.

Bezpečnostní experti zo spoločnosti Eset odhalili sofistikovanú útočnú kampaň, ktorej cieľom sa stala známa internetová zmenáreň Gate.io. Neznámi hackeri sa tentoraz pokúsili ukradnúť virtuálnu menu bitcoin prostredníctvom populárneho analytického nástroja StatCounter.

Bližšie podrobnosti o hrozbe zverejnil portál The Hacker News.

Niekoľkoriadkový kód monitoruje návštevnosť

Nástroj StatCounter využívajú približne dva milióny webových stránok na analýzu návštevnosti. Jeho implementácia je spravidla veľmi jednoduchá. Stačí totiž na cieľový portál vložiť špeciálny skript, ktorý v momente začne zhromažďovať detailné štatistiky o návštevníkoch webu.

Signal láka na vysokú úroveň zabezpečenia a všetky základné funkcie dobrého komunikačného klienta.
Čítajte aj Ako komunikuje najznámejší hacker? Vyskúšali sme jeho tip

Veľmi zjednodušene môžeme povedať, že administrátor vloží na web niekoľkoriadkový kód. Ten pre svoju činnosť potrebuje súbor ďalších skriptov, ktoré sú načítané z oficiálneho portálu StatCounter. Kybernetickým útočníkom sa však podarilo jeden z nich zmeniť a celkovo infikovať až 700-tisíc webov.

Skript nahradí adresu peňaženky

Skript umiestnený na URL adrese www.statcounter.com/counter/counters.js hackeri upravili takým spôsobom, že do jeho stredu vložili niekoľko riadkov škodlivého kódu. Tento kód najprv skontroluje, či adresa v internetovom prehliadači používateľa obsahuje URI reťazec „myaccount/withdraw/BTC“.

Záškodnícky kód vložený do legitímneho skriptu. fotogaléria / 3
Záškodnícky kód vložený do legitímneho skriptu. Zdroj: Eset

Výskumníci zistili, že len jeden web využíva uvedený URI reťazec. Ide o internetovú zmenáreň virtuálnych mien Gate.io. Je teda zrejmé, že cieľom útočníkov bol len tento portál a ostatné weby využívajúce StatCounter neboli nijakým spôsobom ovplyvnené.

Ak je URI reťazec prítomný, tak sa spustí ďalší skript, ktorý je umiestnený na URL adrese statconuter.com. Pozorný čitateľ si všimne prehodené písmenka N a U. Nejde o preklep, ale o úmyselné využitie veľmi podobnej domény hackermi. Tento sekundárny skript automaticky nahradí adresu peňaženky vždy, keď sa používateľ pokúsi odoslať peniaze vo virtuálnej mene bitcoin.

V praxi sa nič netušiaca obeť prihlási na oficiálny portál zmenárne (Gate.io) a vyplní údaje pre plánovanú transakciu – adresu peňaženky príjemcu a čiastku. Po odoslaní platby sa však na pozadí nahradí adresa peňaženky príjemcu za adresu pod kontrolou hackerov.

Rozhranie pre odoslanie platby cez Gate.io. fotogaléria / 3
Rozhranie pre odoslanie platby cez Gate.io. Zdroj: Eset

Používateľ tak nevedomky odošle peniaze neznámym útočníkom. Celá akcia pritom prebieha nenápadne na legitímnom portáli, len za účasti nezabezpečeného skriptu tretej strany.

Presný rozsah útoku nie je známy

Útočníci získali kontrolu nad skriptom StatCounter 3. novembra. Počítačoví experti z Esetu odhalili útok o dva dni neskôr a informovali o tom obidve dotknuté strany. Následne, 6. novembra bola odstránená škodlivá časť z oficiálneho skriptu StatCounter. V rovnaký deň prestala internetová zmenáreň Gate.io využívať tento analytický nástroj.

Narušili botnet Gamarue. Obete infikoval od roku 2011. ilustračná snímka.
Čítajte aj Pozor na nový botnet. Infikovaných je už minimálne 100-tisíc domácich routerov

Internetová zmenáreň uviedla, že po incidente otestovala všetky svoje systémy a nenašla už žiadnu ďalšiu hrozbu. Okrem toho vraj nikto nenahlásil problémy pri spracovaní platby. Nespresnila však, koľko transakcií bolo v osudné tri dni spracovaných.

Výskumníci nedokážu odhadnúť presný rozsah kampane, ani koľko bitcoinov mohli útočníci získať. Škodlivý skript totiž vždy vygeneroval novú adresu peňaženky.

Podujatie Fin.Techsummit predstavuje pre záujemcov cennú príležitosť zapojiť sa do veľmi otvorených a živých diskusií o budúcnosti finančníctva, ktoré dnes podstatne ovplyvňujú nové technológie a digitalizácia. Tešiť sa môžete na živé a otvorené diskusie aj účasť popredných zahraničných odborníkov v oblasti. Jedným z nich je Maxim Lyadvinsky, zakladateľ crowdfundingovej platformy Bloomio alebo Thomas Oberlechner, expert na psychológiu investovania.

Diskusia 1 Príspevkov