The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Атака на биржу криптовалюты через взлом счётчика StatCounter"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Атака на биржу криптовалюты через взлом счётчика StatCounter"  +/
Сообщение от opennews (??), 06-Ноя-18, 22:01 
Зафиксирован (https://www.welivesecurity.com/2018/11/06/supply-chain-attac.../) взлом популярного сервиса web-аналитики StatCounter (https://en.wikipedia.org/wiki/StatCounter), JavaScript-код со счётчиком которого размещён на более чем двух миллионах сайтах, а число загрузок составляет около 10 миллиардов страниц в месяц. По данным компании ESET взлом выполнен для совершения целевой атаки на биржу криптовалют gate.io, на страницах которой размещён код счётчика StatCounter.


После взлома злоумышленники добавили в код счётчика несколько дополнительных строк, которые перехватывают информацию о всех транзакциях с криптовалютой  Bitcoin в web-интерфейсе Gate.io. Вредоносный код активируется только для страниц, содержащих в URL маску "myaccount/withdraw/BTC", которая специфична для сайта  Gate.io.  В случае обнаружения в формах Bitcoin-адреса, вредоносный код заменяет его на Bitcoin-адрес злоумышленников, предполагая, что пользователь не заметит подмену и переведёт средства не на тот адрес. Для каждой жертвы используется отдельный подставной Bitcoin-адрес, что затрудняет отслеживание ущерба от атаки.


Атака была совершена 3 ноября и пока сохраняет активность. Код изменённого счётчика (www.statcounter.com/counter/counter.js) до сих пор содержит вредоносное изменение (скрипт сжат при помощи упаковщика packer (http://dean.edwards.name/packer/), поэтому без распаковки появление вредоносного кода не бросается в глаза). Выявившие проблему исследователи направили в StatCounter уведомление о проблеме, но пока не получили ответа.


Администраторы Gate.io удалили счётчик со своих страниц, но он продолжает использоваться на многочисленных сайтах других пользователей StatCounter. Несмотря на то, что вредоносный код нацелен только на компрометацию биржи Gate.io, не  исключено, что злоумышленники в любой могут изменить код счётчика для совершения более масштабной универсальной атаки (например, для захвата паролей или платёжной информации на сайтах со счётчиком StatCounter).

URL: https://www.welivesecurity.com/2018/11/06/supply-chain-attac.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=49568

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


4. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +5 +/
Сообщение от Аноним (4), 06-Ноя-18, 22:17 
Надеюсь что все подобные счетчики яростно режутся uBlock'ом из коробки
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +19 +/
Сообщение от Аноним (8), 07-Ноя-18, 00:06 
На коробку надейся, а подписки добавь.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

28. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +6 +/
Сообщение от Александр (??), 07-Ноя-18, 15:12 
Пока не ломанут uBlock и он сам не начнет делать тихо тоже самое.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

33. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +1 +/
Сообщение от Аноним (33), 07-Ноя-18, 19:48 
Ну собирай из исходников, кто мешает?)
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

5. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +6 +/
Сообщение от Аноним (5), 06-Ноя-18, 22:22 
Следующий уровень атаки - взлом Cloudflare? А впрочем даже если их всех взломают, макакам впрок не пойдёт и они продолжат подгружать говно с CDN без проверки хеша.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +/
Сообщение от Аноним (14), 07-Ноя-18, 01:19 
Флаг в руки "легко" разобраться с инфраструктурой типа CloudFlare.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

19. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +1 +/
Сообщение от кульхаксор (?), 07-Ноя-18, 09:58 
а зачем мне разбираться? Мне ж надо одну-единственную дырку найти, а не детально разобраться в технологии. А это делается совсем-совсем с другого конца.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

39. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +/
Сообщение от Всем Анонимам Аноним (?), 08-Ноя-18, 17:14 
Вы сравниваете с домашним сервером или мелким. Например, некоторые команды, которые Вы думаете только показывают данные, могут сломать вещи. Я уж молчу про вопрос где хранятся конфиги, как они обновляются (скорее всего в несколько стадий) и т.п.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

30. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +/
Сообщение от Аноним (30), 07-Ноя-18, 17:08 
Большинство обменников работают через cloudflare, который митмит весь трафик (https шифруется до него и потом снова от него до сайта, для cf все прозрачно). Один недобросовестный сотрудник cf может положить весь рынок криптовалют.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

41. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +/
Сообщение от Всем Анонимам Аноним (?), 08-Ноя-18, 17:16 
Скорее всего top 10000 сайтов таки или иначе используют CDN, включая банки. Для этого CDN имеют PCI сертификвцию. Она хоть как-то сдерживает девелоперов, для которых слово безопасность нет в лексиконе.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

6. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +18 +/
Сообщение от Аноним (6), 06-Ноя-18, 22:23 
Привет сбербанку, который в online-банке использовал/использует счётчики от Google, Yandex и каких-то левых контор.

https://www.sberbank.com/ru/personal_policy
"в т.ч. с использованием метрических программ Яндекс.Метрика, Google Analytics, Firebas Google, Tune, Amplitude, Сегменто"

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +2 +/
Сообщение от Аноним84701 (ok), 06-Ноя-18, 22:51 
> Привет сбербанку, который в online-банке использовал/использует счётчики от Google, Yandex
> и каких-то левых контор.

Ну дык, тут с одной стороны есть риск, что взломают вас (чисто технически) на вашем-же локалхосте – от чего ответственному манагеру ни холодно ни жарко, особенно когда можно отлично отбрехаться или (с минимальными потерями) назначить козла отпущения.
А вот с другой – есть возможность прямо здесь и сейчас собрать аналитику и сделать на этом денюжку малую на посещение красавиц (или красавцев) элитных. Кто же тут долго раздумывать будет?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +1 +/
Сообщение от Гентушник (ok), 07-Ноя-18, 00:09 
Тоже охренел когда такую подставу обнаружил. Писал им в саппорт, но они это за потенциальную уязвимость не считают.
Хорошо хоть ublock зарезал все эти счётчики.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

18. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +/
Сообщение от Аноним (18), 07-Ноя-18, 09:43 
Ты сам вносил? Можно конфиг?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

35. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +/
Сообщение от Гентушник (ok), 08-Ноя-18, 07:18 
> Ты сам вносил? Можно конфиг?

Я сам не вносил. Счётчики зарезали статические фильтры из вот этих вот подписок:
EasyList
EasyPrivacy
RUS: RU AdList
Peter Lowe’s Ad and tracking server list


А вообще, помимо вышесказанных подписок я использую правило динамической фильтрации
* * 3p-script block
Которое блочит все сторонние (по отношению к текущему домену) скрипты и всякие такие счётчики режутся ещё до применения статических фильтров.
Минус - половина сайтов ломается и приходится ставить
example.com * 3p-script noop
(правило ставится мышкой из меню ublock origin)
Ставить лучше именно noop а не allow, чтобы статические фильтры срабатывали.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

37. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +/
Сообщение от Урри (?), 08-Ноя-18, 14:48 
> Которое блочит все сторонние (по отношению к текущему домену) скрипты
> Минус - половина сайтов ломается и приходится ставить

С этой работой отлично справляется uMatrix. И "поломанные" сайты фиксятся двумя кликами мышки, без ручного внесение записей в список.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

40. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +/
Сообщение от Гентушник (ok), 08-Ноя-18, 17:14 
> С этой работой отлично справляется uMatrix. И "поломанные" сайты фиксятся двумя кликами
> мышки, без ручного внесение записей в список.

В Ublock Origin это делается точно так же :)
Там интерфейс почти одинаковый, разработчик ведь тот же.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

20. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +2 +/
Сообщение от нах (?), 07-Ноя-18, 10:06 
хха, он там не счетчики использует, он там куда более интересные штуки использует - яндексу сливаются поля форм! То есть все, что не скринится явно - имена-отчества которые банки так любят "для предупреждения подмены сообщений", адреса, телефоны, местами куски номеров счетов.

ну а что вы хотите, им же нннннадо! (аж в жееппе свербит как надо) знать что за кнопки и в каком порядке вы нажимали, а скромный сбербанк, владелец двух десятков многоэтажных ни разу ни для клиентов предназначенных зданий в одной только Москве, где сидит с пол-миллиона офисных рабов, прикованных к мониторам - конечно же не может выделить собственных разработчиков подобных средств, это нестильно, немодно и не молодежно.

то есть там даже не нужно ломать яндекс или гугль, там достаточно подсунуть порно-линк эффективному менеджеру, взявшему работу на дом, чтобы он слил тебе пароль от яндексовой учетки. Где все будет в уже удобно обработанном виде, бери и пользуйся, и далеко-далеко от сберовской службы безопасности - если она у них вообще есть и работает, что сомнительно.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

21. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +1 +/
Сообщение от йцукен (??), 07-Ноя-18, 10:28 
Еще и карты геолокацию в открытом виде пересылают , покрайне мере сберонлайн, кроме этого сучится на касперовские сервера раскинутые по миру 443 1443 порта, что он там передает кто знает .
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

22. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +1 +/
Сообщение от qwerty (??), 07-Ноя-18, 11:28 
А учитывая тот список разрешение на IOS/android в совокупности с касперским, следует пологать что после установки СбербанкОнлайн, Спербанк имеет все наши данные, фото, видео, геолокацию, переписку итд., и не нужно никаких счетвиков и прочего говна, достаточно установить сберокасперский ТРОЯН.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

29. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +/
Сообщение от нах (?), 07-Ноя-18, 15:29 
наивняк! В том и дело что их имеет не сбербанк, а все кто его имеет - от касперского до гугля.
ну и все кто поимели акаунты конкретных дубоголовых манагеров этого самого сбера.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

31. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +/
Сообщение от Аноним (31), 07-Ноя-18, 17:15 
> наивняк! В том и дело что их имеет не сбербанк, а все
> кто его имеет - от касперского до гугля.
> ну и все кто поимели акаунты конкретных дубоголовых манагеров этого самого сбера.

Ну, здесь имеется и некоторый положительный момент (для кого? ;)
Теперь сбербанк, когда вдруг может быть рак на горе свистнет, может сделать удивленное лицо, ковыряться в носу и пускать слюну говоря, что он то здесь ни при чем :(
Это все они, они и они...


Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

38. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +/
Сообщение от нах (?), 08-Ноя-18, 17:03 
> Теперь сбербанк, когда вдруг может быть рак на горе свистнет, может сделать удивленное лицо,
> ковыряться в носу и пускать слюну говоря, что он то здесь ни при чем :(

ты все еще слишком хорошего о них мнения, на самом деле - вот как надо:

https://www.rbc.ru/society/17/07/2018/5b4d0ed19a79475894dff274

утекли сканы паспортов? "Информация по этим ссылкам не содержит персональных данных клиентов Сбербанка и не несет для них никакого риска. Банк и его клиенты надежно защищены".


Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

10. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +1 +/
Сообщение от Анонимуз (?), 07-Ноя-18, 00:30 
Варюсь в криптотеме и могу с полной уверенностью заявить, что 99% "взломов" криптобирж - это простое решение админа забрать все деньги и уехать в Рио-де-Жанейро, не более.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +16 +/
Сообщение от leave home (?), 07-Ноя-18, 00:39 
Пост из Рио?
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +/
Сообщение от Аноним (12), 07-Ноя-18, 00:40 
Вот тут все восхваляют uBlock, а недавний пример с mega.nz показал, что расширения тоже могут протроянить вне зависимости от репутации.

Кто не знает, в фаерфоксе отлично работают списки блокировки от disconnect. Включать в настройках приватности.

Да, рекламу на Ютубе не режет, но это все же на 1 потенциально скомпрометированный источник кода меньше.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +1 +/
Сообщение от Crazy Alex (ok), 07-Ноя-18, 01:09 
ну да, только функциональность несравнима. Тогда логичный следующий шаг - links
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

24. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +1 +/
Сообщение от Аноним (24), 07-Ноя-18, 11:45 
нужно сразу привыкать к хорошему:
curl "https://www.opennet.ru/opennews/art.shtml?num=49568"
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

25. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +2 +/
Сообщение от Аноним (25), 07-Ноя-18, 14:00 
>недавний пример с mega.nz показал

щас бы не отключать на три буквы "автоматическое обновление" с функцией "автоматической загрузки троянов"

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +1 +/
Сообщение от Аноним (15), 07-Ноя-18, 02:59 
Тут любопытно то, что в службе статистики, много лет вравшей нам про долю IE, работают люди, компетентные настолько, что не могут мгновенно закрыть очевидную уязвимость.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  –2 +/
Сообщение от Нанобот (ok), 07-Ноя-18, 08:04 
кто нибудь в курсе, можно ли запретить такому скрипту лазить по странице и менять её содержимое? может запускать его в iframe и подключать его как-то по особому?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +1 +/
Сообщение от Аноним (26), 07-Ноя-18, 14:38 
Ты чо, виртуальных фантиков умным людям с техническим складом ума на пиво пожалел? Жадина!
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

27. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +/
Сообщение от Нанобот (ok), 07-Ноя-18, 14:49 
> Ты чо, виртуальных фантиков умным людям с техническим складом ума на пиво
> пожалел? Жадина!

т.е. ты не знаешь? и пытаешься перевести разговор на тему моих личных качеств. ок, пнх.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

36. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +/
Сообщение от Гентушник (ok), 08-Ноя-18, 07:27 
> кто нибудь в курсе, можно ли запретить такому скрипту лазить по странице
> и менять её содержимое? может запускать его в iframe и подключать
> его как-то по особому?

Можно его просто не запускать. Для блокировки есть множество разных расширений, например ublock origin.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

42. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  –1 +/
Сообщение от Нанобот (ok), 09-Ноя-18, 20:31 
>> кто нибудь в курсе, можно ли запретить такому скрипту лазить по странице
>> и менять её содержимое? может запускать его в iframe и подключать
>> его как-то по особому?
> Можно его просто не запускать. Для блокировки есть множество разных расширений, например
> ublock origin.

да я вобщем-то про серверную сторону спрашивал...может ли разработчик сайта прикрутить счётчик так, чтоб счётчик не мог делать ничего, кроме подсчёта посетителей?

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

43. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +/
Сообщение от пох (?), 09-Ноя-18, 22:27 
может - если он и правда разработчик, нарисовать собственный счетчик для никому ненужного сайта, с кодом, располагающимся внутри самого сайта, не должно представлять для него ни малейшей проблемы.

хотя обычно для "собственных сайтов" и этого не требуется (случаи неудержимого желания подглядывать за индивидуальными движениями мыши пользователя оставим отдельно), есть логи и есть их анализаторы. К сожалению, эффективные менеджеры ничего о них не слышали, да и разработчиков никаких давно нет, есть кодошлепы, ctrlc/ctrlv, и хорошо если из ответа на stackoverflow, а не из вопроса.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

44. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +/
Сообщение от Гентушник (ok), 09-Ноя-18, 22:34 
> да я вобщем-то про серверную сторону спрашивал...может ли разработчик сайта прикрутить
> счётчик так, чтоб счётчик не мог делать ничего, кроме подсчёта посетителей?

Прикрутить какой-нибудь гугель-аналитик чтобы он не шастал куда не надо и не сливал данные гуглю? Вряд ли.

Зато разработчик может развернуть на своём сайте собственную систему аналитики, например piwik.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

23. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  –1 +/
Сообщение от Аноним (23), 07-Ноя-18, 11:37 
О content security policy разработчики биржи не слышали, а он бы здесь помог.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Атака на биржу криптовалюты через взлом счётчика StatCounter"  +1 +/
Сообщение от Аноним (34), 07-Ноя-18, 21:20 
Нет не помог бы.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру