Svenska myndigheter utsatta för kryptokapningar - "Känslig information kunde ha stulits"

För några dagar sedan uppdagades det att 5000 webbplatser infekterats med skadlig kod, varav ett flertal som tillhör svenska organisationer, däribland Moderaterna, 1177, och Polisen.

Enligt The Register har samtliga webbplatser i attacken infekterats via pluginprogrammet Browsealoud som har som funktion att omvandla text till ljud för användare med nedsatt syn.

Via en felkonfiguration i Browsealoud har angriparna installerat kryptokapningsprogrammet Coinhive, vilket använder sig av besökarens hårdvara för att utvinna Monero, en populär kryptovaluta bland cyberkriminella.

För de användare som besökte webbplatserna med tillägget innebar besöket i sig inte något större hot. Coinhive installeras inte utan körs direkt i webbläsaren och syftar endast till att utvinna Monero till den som har installerat programmet. Men Sentors tekniska säkerhetskonsult Kalle Zetterlund tycker ändå att incidenten ska fungera som en varningsklocka för svenska myndigheter och företag:

- Med tanke på att Polisen, 1177 och ett flertal kommuner fanns bland de drabbade kunde angriparna potentiellt kommit över mycket känslig information om användarna. Angriparna skulle istället kunnat konstruera ett script som stal användarnas lösenord, kreditkortsuppgifter eller sökhistorik. Laddar man startsidan på en vanlig site så kan det laddas innehåll från 30 olika källor. Har de också annonser kan det röra sig om det tredubbla. Var och en av dessa källor skulle kunna utnyttjas i en attack på samma sätt.

Antalet kryptokapningar ökar just nu i rask takt, en del menar till och med att cyberkriminella gått över från ransomware till kryptokapningar eftersom riskerna att åka fast är lägre. I det här fallet verkar dock attacken inte ha gett några större intäkter, enligt uppgifter lyckades angriparna endast komma över 24 dollar.

Vill du veta hur man kan skydda sig mot skadlig kodinjektion?

Kalle har tagit fram en teknisk beskrivning med konkreta säkerhetsrekommendationer för utvecklare och siteägare. Läs den här!

Prenumerera på vårt nyhetsbrev

Håll dig uppdaterad inom IT- och informationssäkerhet. Anmäl dig till vårt nyhetsbrev som vi brukar skicka 1-2 gånger i månaden.

Kontakta oss

Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.

08-545 333 00
Vi svarar dygnet runt
info@sentor.se
För generella förfrågningar
soc@sentor.se
Använd vår PGP-nyckel