На портале сахалинского минздрава для удаленной записи в региональные лечебные заведения был обнаружен вредоносный код, с помощью которого неизвестные злоумышленники занимались майнингом криптовалюты, используя для этого мощности посетителей ресурса во время их визитов на сайт.
Подпольный майнинг в минздраве
На сайте электронной регистратуры, через которую можно записаться в ряд лечебных учреждений на Сахалине, неопределенное время работал скрипт, добывающий криптовалюту с помощью ресурсов компьютеров посетителей этого ресурса. Такое открытие сделал один из пользователей новостного и сервисного портала Сахалина и Курил sakh.com.
После обращения этого пользователя в региональный минздрав скрипт с сайта был удален. «Сколько пользователей "пожертвовали" свои ресурсы ради обогащения предприимчивого системного администратора регистратуры или неизвестного злоумышленника, не установлено», — сообщает новостной ресурс sakh.com — sakhalin.info.
«На сайт был внедрен JavaScript-файл. Он работал, только пока у пользователя была открыта вкладка с сайтом, никакого влияния на устройство после отключения от портала не оказывал», — рассказал один из программистов Sakh.com. По мнению его коллег, вероятнее всего вредоносный код добывал криптовалюту monero — электронных монет с нетрадиционной криптографией для обеспечения повышенной анонимности пользователей.
Реакция Сахалинского минздрава
В пресс-службе регионального минздрава подтвердили sakhalin.info обнаружение на сайте электронной регистратуры вредоносного кода, но дали понять, что он относился к старой версии портала, который планируется вывести из эксплуатации в феврале 2018 г. «Переход на новую версию портала осуществляется в том числе и для исключения подобных случаев», — добавили собеседники издания.
Что касается мер реагирования на инцидент, то в региональном минздраве сообщили, что был «оповещены надзорные учреждения, проводятся соответствующие работы».
«На самом портале не ведется хранение и обработка информации, — уточнили в ведомстве. — Для пользователей, пациентов при работе со старым порталом самозаписи e-reg.minzdravsakhalin.ru нет угроз по утечке персональной информации. Использование этого ресурса для граждан может быть продолжено вплоть до его закрытия».
Партизанский майнинг — уже не редкость
Отметим, что так назваемый партизанский майнинг криптовалют за счет нецелевого использования чужих ресурсов на сегодня редкостью уже не является. Подобные случаи происходят как в России, так и за рубежом — майнят чужими руками как сторонние злоумышленники, так и сисадмины на своих рабочих местах.
Так, в октябре 2017 г. стало известно, что облачные мощности, арендуемые двумя крупными бизнес-клиентами Amazon, были взломаны хакерами и использованы для добычи биткоина. Получить к ним доступ преступникам позволило отсутствие паролей на консолях администрирования. Для управления майнингом использовался контейнер Kubernetes.
В России же в декабре 2017 г. сотрудники ФСБ провели обыски во «Внуково» после того, как руководство аэропорта пожаловалось на постоянные скачки напряжения. Результатом проверки стало задержаниесистемного администратора, который построил в Московском центре управления воздушным движением ферму для майнинга криптовалюты.