Saugumo ekspertas nustatė, kaip viena Lietuvos valstybinės įmonės svetainė išnaudojo lankytojus kriptovaliutos kasimui ()
Jeigu nuo savaitgalio lankėtės valstybinės įmonės „Duomenų logistikos centras“ interneto svetainėje, tuomet galite drąsiai pildyti socialinius tinklus su grotažyme #CyberMeToo: jumis buvo pasinaudota.
Prisijunk prie technologijos.lt komandos!
Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.
Sudomino? Užpildyk šią anketą!
Tiksliau, pasinaudota jūsų kompiuteriu: „Duomenų logistikos centro“, kuris priklauso „Lietuvos energijos“ įmonių grupei, svetainėje buvo įdiegtas įskiepis kriptovaliutoms kasti. Anot 15min, redakcijai apie saugumo pažeidimą pranešusio esec.lt saugumo analitiko Dariaus Povilaičio, veikiausiai tai yra piktybinių programišių nuotoliniu būdu į svetainės turinį įdiegtas įskiepis, nes svetainėje naudojama „Drupal“ turinio valdymo sistema (TVS).
Nuo šių metų vasario 18 d. paskelbta net apie keturias kritines „Drupal“ spragas, dvi iš jų įvertintos „Labai kritiniu“ reitingu ir suteikia galimybę nežinomiems asmenims svetainėse, naudojančiose „Drupal“ TVS, vykdyti komandas nuotoliniu būdu. Paskutinė „Labai kritinė“ spraga aprašyta balandžio 25 dieną, vartotojai informuoti, kad programišiai jau dabar aktyviai išnaudoja spragą, pateikti ir naujiniai, kuriuose šios silpnybės nėra.
Svetainės datalogistics.lt veikimo įtartinumu vartotojai galėjo įsitikinti patys: atidarius šią svetainę per kelias sekundes iki 100 proc. išaugdavo procesoriaus apkrovimas, atitinkamai išaugdavo ir aušintuvų skleidžiamas garsas. Svetainės langą uždarius procesoriaus apkrovimas ir aušintuvų ūžimas sumažėdavo.
Procesoriaus apkrovimo lygį kompiuteriuose su „Windows“ operacinėmis sistemomis galite sužinoti vienu metu paspaudę mygtukus „Ctrl+Shift+Esc“ ir tuomet pasirinkę „Performance“ skirtuką.
Anot D. Povilaičio, nors pastarosios „Drupal“ spragos programišiams suteikia pakankamai plačias piktybinės veiklos galimybes, toks spragos išnaudojimo būdas – kriptovaliutų kasimo įskiepių įkišimas – yra santykinai mažo piktybiškumo išpuolis, kuris didelių tiesioginių nuostolių vartotojui, neskaitant sumažėjusio kompiuterio našumo ir išaugusios sąskaitos už elektrą, nepridaro. Jo teigimu, įsilaužimas į valstybinės įmonės svetainę užfiksuotas balandžio 27 dieną.
Grėsmė suvaldyta
Apie įsilaužimą informavus „Duomenų logistikos centrą“, piktybiniai svetainės elementai buvo pašalinti.
„Per pastarąsias pora savaičių buvo fiksuotas bandymų įsilaužti į LE grupei priklausančią svetainę www.datalogistics.lt suaktyvėjimas, bandant išnaudoti naujausią kritinį svetainės pažeidžiamumą. Siekiant suvaldyti atakas, svetainėje buvo įdiegti saugumo spragas ištaisantys atnaujinimai, siekiant ateityje išvengti panašių kibernetinių atakų papildomai aktyvuota interneto svetainių apsaugos ugniasienė (angl. Web Application Firewall).
Svarbu paminėti, kad www.datalogistics.lt nėra kritinė svetainė, į kurią įsilaužus būtų sutrikdyta pagrindinė įmonių grupės veikla, nepaisant to, siekiame maksimaliai apsaugoti visas mūsų informacines sistemas. Suvaldžius atakas, svetainė buvo išsamiai tikrinta dėl galimo gilesnio įsilaužimo (serverio užvaldymo), įsilaužimo pėdsakų neaptikta. Kenksmingas kodas, apie kurį buvome informuoti nepriklausomo saugumo eksperto, jau yra pašalintas.
Kibernetinėje erdvėje nauji pažeidžiamumui atsiranda kiekvieną dieną, juos labai greitai išnaudoja nusikaltėliai. Siekiant suvaldyti kiek įmanoma daugiau iškylančių naujų grėsmių, diegiame pažangius IT saugos sprendimus, glaudžiai bendradarbiaujame Nacionaliniu kibernetinio saugumo centru bei kitomis organizacijomis, stengiamės greitai reaguoti į bet kokius pranešimus apie pastebėtus pažeidžiamumus mūsų infrastruktūroje“, – situaciją komentavo „Lietuvos energijos“ IT saugos vadovas Liudas Ališauskas.