Спецпроекты

ПО Безопасность Стратегия безопасности ИТ в госсекторе Маркет

Сайт минздрава использовался для добычи криптовалюты за счет ресурсов посетителей

На портале сахалинского минздрава для удаленной записи в региональные лечебные заведения был обнаружен вредоносный код, с помощью которого неизвестные злоумышленники занимались майнингом криптовалюты, используя для этого мощности посетителей ресурса во время их визитов на сайт.

Подпольный майнинг в минздраве

На сайте электронной регистратуры, через которую можно записаться в ряд лечебных учреждений на Сахалине, неопределенное время работал скрипт, добывающий криптовалюту с помощью ресурсов компьютеров посетителей этого ресурса. Такое открытие сделал один из пользователей новостного и сервисного портала Сахалина и Курил sakh.com.

После обращения этого пользователя в региональный минздрав скрипт с сайта был удален. «Сколько пользователей "пожертвовали" свои ресурсы ради обогащения предприимчивого системного администратора регистратуры или неизвестного злоумышленника, не установлено», — сообщает новостной ресурс sakh.com — sakhalin.info.

«На сайт был внедрен JavaScript-файл. Он работал, только пока у пользователя была открыта вкладка с сайтом, никакого влияния на устройство после отключения от портала не оказывал», — рассказал один из программистов Sakh.com. По мнению его коллег, вероятнее всего вредоносный код добывал криптовалюту monero — электронных монет с нетрадиционной криптографией для обеспечения повышенной анонимности пользователей.

Реакция Сахалинского минздрава

В пресс-службе регионального минздрава подтвердили sakhalin.info обнаружение на сайте электронной регистратуры вредоносного кода, но дали понять, что он относился к старой версии портала, который планируется вывести из эксплуатации в феврале 2018 г. «Переход на новую версию портала осуществляется в том числе и для исключения подобных случаев», — добавили собеседники издания.

Посетители сахалинской медицинской электронной регистратуры автоматически предоставляли злоумышленникам свои мощности для майнинга

Что касается мер реагирования на инцидент, то в региональном минздраве сообщили, что был «оповещены надзорные учреждения, проводятся соответствующие работы».

«На самом портале не ведется хранение и обработка информации, — уточнили в ведомстве. — Для пользователей, пациентов при работе со старым порталом самозаписи e-reg.minzdravsakhalin.ru нет угроз по утечке персональной информации. Использование этого ресурса для граждан может быть продолжено вплоть до его закрытия».

Партизанский майнинг — уже не редкость

Отметим, что так назваемый партизанский майнинг криптовалют за счет нецелевого использования чужих ресурсов на сегодня редкостью уже не является. Подобные случаи происходят как в России, так и за рубежом — майнят чужими руками как сторонние злоумышленники, так и сисадмины на своих рабочих местах.

Так, в октябре 2017 г. стало известно, что облачные мощности, арендуемые двумя крупными бизнес-клиентами Amazon, были взломаны хакерами и использованы для добычи биткоина. Получить к ним доступ преступникам позволило отсутствие паролей на консолях администрирования. Для управления майнингом использовался контейнер Kubernetes.

В России же в декабре 2017 г. сотрудники ФСБ провели обыски во «Внуково» после того, как руководство аэропорта пожаловалось на постоянные скачки напряжения. Результатом проверки стало задержание системного администратора, который построил в Московском центре управления воздушным движением ферму для майнинга криптовалюты.

Денис Воейков

Короткая ссылка