Po týdnu máme další podrobnosti k nálezu skriptu na těžbu kryptoměn na řadě českých webů. Bezpečnostní týmy CSIRT.CZ a CZ.NIC-CSIRT nakonec vyčíslily počet infikovaných stránek (URL) na 950 v celkem 35 doménách s koncovkou .cz. Bezpečnostní experti majitele domén na problém upozornili.
„Ve většině případů stránky skutečně využívají WordPress; jejich pluginy jsme se však nepokoušeli skenovat,“ potvrdil Lupě zřejmý zdroj nákazy bezpečnostní analytik sdružení CZ.NIC Edvard Rejthar.
Mezi weby, které takto těžily kryptoměny bez souhlasu (a obvykle i bez vědomí) uživatele (jak jsme uvedli v předchozí zprávě, najít se dají pomocí operátorů ve vyhledávání Googlu), patřil i server spravovaný Ministerstvem průmyslu a obchodu ČR. Jde o Oficiální portál České republiky o společenské odpovědnosti.
Podobně jako v dalších případech se skript na web dostal zřejmě přes nakažené rozšíření CMS systému WordPress, potvrdil Lupě Marek Homolka z tiskového oddělení úřadu. Ministerstvo podle něj na dílčí nefunkčnost portálu přišlo koncem ledna.
„Prvním krokem byla změna hesla pro administraci webových stránek, poté byl kontaktován Odbor informatiky MPO, který postupoval v této věci dále a zjistil, že došlo k jejich napadení, pravděpodobně v důsledku zneužití dočasné neaktuálnosti redakčního systému WordPress. Technicky vzato došlo k nežádoucímu obohacení všech položek databáze o škodlivý kód CoinHive, určený k těžbě kryptoměn bez vědomí uživatele,“ říká mluvčí.
„Následující den MPO vyzvalo provozovatele portálu k nápravě, který výše uvedené webové stránky obnovil ze zálohy, a tyto jsou opět funkční. Provozovatel rovněž bezodkladně provedl aktualizaci redakčního systému WordPress,“ doplňuje Homolka.
Následovala schůzka s majitelem firmy, která portál pro ministerstvo vyvinula. Do budoucna úřad zvažuje přesun serveru plně pod svou správu. „Ministerstvo průmyslu a obchodu připravuje dlouhodobé systémové řešení umístění této webové prezentace, které do budoucna podobným problémům zamezí (přesunutí obsahu pod některý z již existujících portálů v resortu ministerstva, který je odpovídajícím způsobem zabezpečen a na denní bázi spravován),“ napsal Lupě mluvčí.
Počet webů, které prostřednictvím skriptu využívají počítačový výkon uživatelů k těžbě kryptoměn, postupně roste. O této metodě se někdy mluví i jako o možné alternativě pro uživatele, kterým na webu vadí reklama. Problém ovšem nastává, pokud o nasazení skriptu uživatel neví. A nebo pokud o něm neví ani majitel webu.