Тысячи государственных веб-сайтов в Великобритании и США оказались заражены майнерами, которые добывали криптовалюту Monero с помощью браузеров пользователей. Как сообщается, эти сайты использовали популярный плагин под названием BrowseAloud от TextHelp.com, который считывает, распознаёт и озвучивает страницы для слепых или частично зрячих пользователей, используя технологию text-to-speech.

Некто (возможно хакеры, возможно — кто-то из разработчиков) внедрил код майнера Coinhive в исходники Browsealoud. В результате пострадали 4275 ресурсов. В их числе были Городской университет Нью-Йорка (cuny.edu), официальный судебный портал США (uscourts.gov), сайт Лундского университета (lu.se), Службу финансового омбудсмена Великобритании (financial-ombudsman.org.uk), а также множество других ресурсов в зонах .gov.uk и .gov.au (manchester.gov.uk, NHSinform.scot, agriculture.gov.ie, croydon.gov.uk, ouh.nhs.uk, legislation.qld.gov.au и так далее).

Как отмечается, майнинг шёл только пока сайт был открыт, но даже этого хватило на получение монет. При этом сам код был скрыт, а его анализ — затруднён.

Первым код обнаружил британский ИБ-специалист Скотт Хелме. Он выявил код на правительственном ресурсе ico.org.uk, который принадлежит Управлению комиссара по информации. Как только представителей TextHelp.com уведомили, они отключили скрипт, а также пообещали провести расследование. К делу также подключились специалисты Национального центра кибербезопасности Великобритании.

Если вы хотите загрузить криптомайнер на 1000+ сайтов, вы не станете атаковать 1000+ сайтов, вы атакуете один сайт, с которого все они загружают контент

Скотт Хелме

Разумеется, есть способ контролировать такое. На сайтах можно запустить проверку JavaScript на посторонние действия, но это не является обязательным, потому многие банально пренебрегают этим.

В свете других недавних кибератак во всём мире мы готовились к такому инциденту за последний год, и наш план действий по обеспечению безопасности данных был немедленно введён в действие

Главный технический директор Texthelp Мартин МакКей

Полный список пострадавших ресурсов доступен здесь.