Hacker Hijacks CoinHive's DNS to Mine Cryptocurrency Using Thousands of Websites

Mohit Kumar

Em 24/10/2017 no site The Hacker News

When yesterday I was reporting about the sudden outbreak of another global ransomware attack 'Bad Rabbit,' I thought what could be worse than this?

Then late last night I got my answer with a notification that Coinhive has been hacked — a popular browser-based service that offers website owners to embed a JavaScript to utilise their site visitors' CPUs power to mine the Monero cryptocurrency for monetisation.

Reportedly an unknown hacker managed to hijack Coinhive's CloudFlare account that allowed him/her to modify its DNS servers and replace Coinhive's official JavaScript code embedded into thousands of websites with a malicious version.

https://coin-hive[.]com/lib/coinhive.min.js

Hacker Reused Leaked Password from 2014 Data Breach

Apparently, hacker reused an old password to access Coinhive's CloudFlare account that was leaked in the Kickstarter data breach in 2014.

"Tonight, Oct. 23th at around 22:00 GMT our account for our DNS provider (Cloudflare) has been accessed by an attacker. The DNS records for coinhive.com have been manipulated to redirect requests for the coinhive.min.js to a third party server." Coinhive said in a blog post today.

"This third-party server hosted a modified version of the JavaScript file with a hardcoded site key."

As a result, thousands of sites using coinhive script were tricked for at least six hours into loading a modified code that mined Monero cryptocurrency for the hacker rather than the actual site owners.

"We have learned hard lessons about security and used 2FA [Two-factor authentication] and unique passwords for all services since, but we neglected to update our years old Cloudflare account."

Your Web-Browsers Could Be Mining Cryptocurrencies Secretly for Strangers

Coinhive gained media attention in last weeks after world's popular torrent download website, The Pirate Bay, caught secretly using this browser-based cryptocurrency miner on its site.

Immediately after that more than thousands of other websites also started using Coinhive as an alternative monetisation model by utilising their visitors' CPU processing power to mine digital currencies.

Even hackers are also using Coinhive like services to make money from compromised websites by injecting a script secretly.

Well, now the company is also looking ways to reimburse its users for the lost revenue due to breach.

How to Block Websites From Hijacking Your CPU to Mine Cryptocoins

Due to concerns mentioned above, some Antivirus products, including Malwarebytes and Kaspersky, have also started blocking Coinhive script to prevent their customers from unauthorised mining and extensive CPU usage.

You can also install, No Coin Or minerBlock, small open source browser extensions (plug-ins) that block coin miners such as Coinhive.

(In) Segurança 4.0

Marcos Villas *

Publicada em 24 de outubro de 2017 no site CIO

Toda vez que (infelizmente) há um desastre aéreo, as autoridades e os órgãos competentes, de qualquer país do mundo comunicam em um primeiro momento que tais acidentes são causados por múltiplos fatores, dentre eles os que estão relacionados a equipamentos, procedimentos e ao comportamento humano. Os problemas e incidentes de segurança digital (ou cibersegurança) que eventualmente são identificados no contexto de indústrias (atenção: nem todos são identificados!) também têm múltiplos fatores, mas podemos destacar dois grupos: questões técnicas e questões organizacionais.

As questões técnicas dizem respeito a como os recursos técnicos (hardware, software e redes) são utilizados no ambiente da "TI industrial" (também chamada de TO: tecnologias operacionais); as questões organizacionais dizem respeito a como responsabilidades, procedimentos (atualização de software, gestão de riscos etc.) e orçamentos são alocados para pôr em prática os recursos técnicos necessários para um ambiente de TO defensável.

Um dos principais motivos do aumento da quantidade e da gravidade de incidentes de segurança em ambientes industriais é, sem dúvida nenhuma, o aumento da conectividade da TO. Na chamada Terceira Revolução Industrial houve a introdução de controles computadorizados e automação na área industrial; com a Quarta Revolução Industrial (Indústria 4.0) busca-se, entre outros benefícios, um alto grau de conectividade entre equipamentos. Mas atenção: a conectividade por si não é o problema. A questão reside no fato de que sistemas (ex: SCADAs) e protocolos de dados (ex: Modbus) de TO foram criados antes da disseminação da Internet e, portanto, não estavam expostos a ações e ataques do mundo exterior. A TO mal planejada e mal configurada em uma empresa expõe as suas instalações industriais a riscos desnecessários e indesejáveis.

Ataques a instalações industriais são relativamente recentes e não dependem exclusivamente da Internet. Uma das primeiras ocorrências que se tem conhecimento aconteceu na Austrália em 2000 ("Maroochy") onde um sistema SCADA radiocontrolado de uma estação de tratamento de esgotos recebeu comandos via rádio que causaram o derramamento de mais de 800 mil litros de esgoto não tratado em parques, rios e até mesmo na área de um hotel. Um dos ataques mais famosos ocorreu no Irã em 2010 ("Stuxnet"), quando foram afetadas diversas instalações industriais, dentre elas uma usina de enriquecimento de urânio. Mais recentemente, em 2016, subestações de distribuição de energia elétrica na Ucrânia foram atacadas causando a interrupção do fornecimento de energia ("Industroyer"). Houve pelo menos dois ataques relatados nos EUA em 2016: "Kemury" (nome fictício), uma estação de tratamento de água que atendia a 2,5 milhões de consumidores na qual hackers conseguiram alterar configurações relacionadas ao fluxo e à quantidade de produtos químicos utilizados para tratamento da água, e "Rye Brook", onde hackers iranianos conseguiram acesso a uma pequena barragem de controle de inundação com cerca de 30km de distância do Central Park, em Nova York (EUA).

O impacto mais evidente das tecnologias da Indústria 4.0 no que se refere à segurança dos ambientes industriais está relacionado à IIoT: a chamada "Internet das Coisas Industriais". Devido às suas características inatas de alta conectividade, tais dispositivos podem ser instalados em ambientes industriais sem o devido cuidado com aspectos de segurança. Em muitos casos os mecanismos tradicionais de segurança colocados em prática a partir do projeto da rede são desconsiderados (bypassados). É o problema do "basta…": "basta acoplar, ligar e começar a coletar dados". Sim, para coletar dados é simples, mas é necessário controlar o grau de exposição do ambiente de TO, para que este não fique desnecessariamente vulnerável a ataques.

A(s) rede(s) no ambiente de TO quando mal planejadas, mal configuradas e mal inventariadas convidam os mais diversos tipos de ataque. Há pelo menos duas dimensões a serem consideradas em ataques neste contexto: o grau de penetração na rede e o grau de dano aos dados. Ataques de negação de serviço, distribuídos (DDoS) ou não (DoS), e invasões, caracterizam o grau de penetração na rede; o grau de dano aos dados pode ser caracterizado como roubo (espionagem, que não afeta ou interrompe a produção), sequestro (que interrompe a produção) e adulteração (não interrompe a produção, mas altera o seu comportamento previsto). Há exemplos recentes em todos os casos.

Tal como os aviões, a utilização dos princípios e tecnologias preconizados pela Indústria 4.0 precisam decolar de forma segura e todo e qualquer incidente precisa ser evitado. Os avanços tecnológicos recentes que possibilitam a captura de dados de forma ampla e barata trazem novos desafios para a cibersegurança nos ambientes industriais. Mas não basta apenas ter muitos sensores, muitos equipamentos interconectados. Controlar adequadamente e de forma consciente a menor exposição necessária do ambiente de TO a ataques externos é um dos fatores de sucesso para adoção da IIoT nas indústrias.

(*) Marcos Villas é M.Sc. em Computação, D.Sc. em Administração, sócio-fundador da RSI Redes e professor da PUC-Rio