พบเว็บไซต์รัฐบาล U.S. และ UK หลายแห่งมี Script ขุดเหมืองอยู่ในหน้าเพจ

นาย Scott Helme ที่ปรึกษาด้านความมั่นคงปลอดภัยข้อมูลได้สังเกตเห็นเว็บไซต์ของรัฐบาลสหราชอาณาจักรฯ หรือ ico.org.uk มีการใช้งานสคริปต์ขุดเหมืองบน Browser ซึ่งใช้ CPU ของผู้เข้าเยี่ยมชมไซต์ในการขุดเงินดิจิตัลสกุล Monero นอกจากนี้ยังมีเว็บรัฐบาลอีกหลายแห่งเช่น uscorts.gov, gmc-uk.gov, nhsinform.scot, manchester.gov.uk และอื่นๆ มีการใช้สคริปต์นี้เช่นเดียวกัน

credit : Bleeping Computer

เว็บไซต์เหล่านี้มีการใช้สคริปต์ Text-to-Speech (การอ่านข้อความให้เป็นเสียง) เหมือนกันคือ BrowseAloud จาก TextHelp.com ซึ่ง Helme พบว่าในสคริปต์มีการฝังโค้ดสำหรับตัวขุดเหมืองไว้ตามภาพด้านบน โดยเมื่อถอดออกมาแล้วพบว่ามันจะฝัง Cryptojacking Script (สคริปต์ที่ใช้ทำการขุดเหมืองเงินดิจิตัล) ที่ใช้งาน CPU ประมาณ 40% และส่งเงินดิจิตัลเข้าไปยังบัญชี Coinhive ไอดี 1GdQGpY1pivrGlVHSp5P2IIr9cyTzzXq นอกจากนี้ Helme พบว่ามีเว็บไซต์อื่นๆ รวมกันกว่า 4,275 ไซต์ได้รับผลกระทบจากการใช้งานสคริปต์ BrowseAloud

อย่างไรก็ตามหลังจากแจ้ง TextHelp.com ถึงเรื่องสคริปต์ที่ถูกแทรกแทรงแล้ว CTO ของ TextHelp ได้ปิดให้บริการสคริปต์ดังกล่าวจนกว่าจะเสร็จสิ้นการสืบสวนโดยได้ทิ้งคำแถลงการณ์ไว้ดังนี้

credit : Bleeping Computer

Helme ได้แนะนำวิธีการป้องกันตัวให้กับเจ้าของเว็บไซต์และผู้ใช้ทั่วไปไว้ในบล็อกของตนที่นี่ โดยให้ปฏิบัติดังนี้

  • เจ้าของเว็บควรใช้งาน SRI หรือ Subresource Intrigrity เป็นการให้ค่า Hash กับสคริปต์ที่จะถูกโหลดบนหน้าเว็บเพื่อตรวจสอบว่าสคริปต์ถูกแก้ไขหรือไม่ หากค่า Hash เปลี่ยนแปลงเนื่องจากถูกแก้ไขสคริปต์ก็จะไม่ถูกโหลด
  • ผู้ใช้งานควรใช้ CSP หรือ Content Security Policy เป็นการบังคับให้ Browser โหลดเฉพาะสคริปต์ที่มีค่า SRI Hash เท่านั้นถ้าไม่มีค่า Hash ก็จะบล็อกสคริปต์นั้น

โดย Helm ยังได้กล่าวถึงข้อเสียว่ามันอาจจะทำได้ยากแต่เป็นเรื่องจำเป็นซึ่งยังดีกว่าปล่อยให้เว็บไซต์สูญเสียความน่าเชื่อถือเพราะเรียกชื่อเสียงกลับมาทำได้ยาก โดยผู้ดูแลเว็บไซต์จะต้องคอยดูแลค่า Hash ของสคริปต์ที่ถูกเรียกใช้จากภายนอกเมื่อมีการอัปเดตทุกครั้ง

ที่มา : https://www.bleepingcomputer.com/news/security/u-s-and-uk-govt-sites-injected-with-miners-after-popular-script-was-hacked/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ผู้เชี่ยวชาญเตือนพบช่องโหว่ Zero-day กระทบผู้ใช้ Zyxel หลายรุ่น เสี่ยงต่อการถูกโจมตี

มีการค้นพบช่องโหว่ Zero-day ในผลิตภัณฑ์ Zyxel หลายรุ่น ซึ่งพบการโจมตีจริงแล้ว แแต่ที่ผู้เชี่ยวชาญแสดงความเป็นห่วงงเพราะทาง Vendor ยืนยันว่าผลิตภัณฑ์เหล่านั้นหมดอายุไปแล้วและจะไม่มีการแพตช์ ทำให้ผู้ใช้งานอาจเป็นเป้านิ่งสำหรับ Botnet หรือ การโจมตีทางไซเบอร์

CISA พบบั๊ก Microsoft Outlook เพื่อโจมตี RCE ระบาดหนัก แนะเร่งอัปเดต

CISA ได้แจ้งเตือนหน่วยงานรัฐบาลกลางสหรัฐเพื่อให้ป้องกันระบบไอทีจากช่องโหว่ภายใน Microsoft Outlook ที่พบตั้งแต่ปีที่แล้วซึ่งอาจนำไปสู่การโจมตี Remote Code Execution (RCE) ได้นั้นกำลังระบาดหนัก แนะนำให้เร่งอัปเดตโดยเร่งด่วน