В четверг «Лаборатория Касперского» зафиксировала массовую атаку хакеров на ряд российских СМИ: «Интерфакс», «Вести», «Газета.ру», «Взгляд», «Ура.ру». Эксперты назвали это событие уникальным, поскольку в ходе атак злоумышленники использовали так называемый «бестелесный» вирус, способный функционировать, не создавая файлы в зараженной системе.
«Мы зафиксировали несколько вариантов заражения сайтов. Первый - через рекламные системы, когда вместе с рекламным баннером распространяется вредоносный код. Второй — злоумышленники получили доступ непосредственно к сайту или к новостному модулю, что позволило им добавить свой код», – рассказал «Полит.ру» эксперт «Лаборатории Касперского» Вячеслав Закоржевский.
По его словам, через зараженные интернет-сайты злоумышленники могли получить доступ и к компьютерам пользователей, которые туда заходили. «В данном случае при переходе пользователя на зараженный сайт, на его компьютер загружался бот Lurk. В нашем исследовании Lurk подгружал модуль, ворующий пароли от FTP-серверов. С помощью такого «зловреда» злоумышленники могут получить доступ к другим сайтам, что даст им возможность заразить и их тоже», – пояснил Закоржевский.
Известно также, что вирус «работает» со всеми популярными браузерами. Для распространения вредоносного кода хакеры использовали тизерную сеть, включающую в себя ряд известных новостных порталов.
Источник «Полит.ру», знакомый с методами работы хакеров, отметил, что случай заражения сайтов через рекламные блоки не так интересен, это уже известная практика. «А вот некоторые страницы «Интерфакса» и других СМИ из данного списка содержали прямой (замаскированный) код javascript, вставляющей фрейм с помощью Java-эксплойта (Exploit.Java.CVE-2012-1723.jl) и устанавливающий на компьютер бот Lurk. Это значит, что злоумышленники либо уже владели паролями от FTP-серверов «Интерфакса» и других СМИ, либо использовали полностью развязывающие руки уязвимости системы управления соответствующими сайтами. Их поиск, возможно, осуществлялся через автоматические сканеры уязвимостей системы управления сайтами».
По словам источника, получить выгоду от данных, которыми завладели киберпреступники, будет не так сложно: «злоумышленники смогут манипулировать частью сайтов под руководством неудачливых посетителей исходных страниц СМИ, возможно, как и в этом случае, незаметно для антивирусных программ. Выбрав момент, можно без труда монетизировать трафик, использовать сеть зараженных компьютеров для DDos-атак или вообще продать доступ к такой сети на черном рынке».
Сотрудники «Лаборатории Касперского» обнаружили хакерские атаки еще в конце октября. По их предположению, это были всего лишь тесты перед основной атакой. Злоумышленники использовали довольно хитрую систему, отработанную ими еще в марте. Тогда удалось выяснить, что заражению подверглись информационные ресурсы, использующие на своих страницах тизеры сети на основе технологии AdFox. Каждый день хакеры заражали одни и те же сайты не более, чем на 90 минут, оставаясь, таким образом, незаметными для администраторов. При этом жертвы подобных атак исчислялись тысячами. Только за сутки вирус попадал в компьютеры примерно полутора тысяч посетителей зараженных сайтов.
Механизм действия вредоносного ресурса заключается в следующем. При попытке загрузки одного из тизеров новостей бразуер пользователя скрытно перенаправлялся на вредоносный сайт. В отличие от стандартных drive-by-атак, во время которых вирус загружается на жесткий диск, в этот раз «бестелесный вирус» действовал только в оперативной памяти компьютера. Такие вирусы способны работать лишь до перезагрузки, но этого вполне достаточно, чтобы получить необходимые данные.
Руководитель направления по работе с вузами компании Searchinform Алексей Дрозд рассказал «Полит.ру», что организация этой атаки потребовала довольно серьезной подготовки. «Это крупные новостные ресурсы, которые ежедневно посещают миллионы людей. «Детских» дырок в безопасности там уже давно нет. Злоумышленники грамотно продумали стратегию по сокрытию своей деятельности. Вполне возможно, что они просто могли купить уже готовые уязвимости на «черном рынке». Но все равно этому должна была предшествовать долгая и упорная работа по их поиску (так как iframe отличаются и на разных ресурсах внедрены в различные места)».
Алексей Дрозд упомянул об опасности, которой подверглись пользователи данных ресурсов: «"Зловред", загружавшийся на машину "жертвы", умеет красть учетные данные от FTP, популярных браузеров (Opera, FireFox, IE) и файловых менеджеров (Total Commander). Кроме того, у трояна наверняка есть возможность при необходимости подгружать к себе «приятелей», нацеленных на платежные системы, системы ДБО и т.д». В итоге эксперт выделил две возможные цели злоумышленников: «Во-первых, заражение компьютера веб-мастеров и всех тех, кто в той или иной степени участвует в наполнении ресурса. После заражения на руках у злоумышленников оказывались пароли доступа к FTP-серверу, что позволяло уже самим на него залезть и модифицировать коды тех же баннеров. И здесь мы переходим ко второму вектору – массовое заражение посетителей ресурса».
Во время мартовских атак целью злоумышленников стал доступ к банковским счетам и паролям граждан, пользующихся интернет-услугами ряда крупных российских банков. В качестве бота вредоносная программа посылала на хакерский сервер запросы и данные о посещении сайтов из пользовательского браузера. Если в них содержалась информация об использовании системы дистанционного банковского обслуживания, на зараженный компьютер устанавливался троянский вирус Lurk, с помощью которого конфиденциальные данные попадали к хакерам.
В ходе расследования эксперты «Лаборатории Касперского» выяснили, что сама сеть AdFox не является источником заражения. С помощью аккаунта одного из пользователей AdFox хакеры изменили код баннера анонсов новостей. К основному коду была добавлена ссылка на вредоносный сайт. В результате хакеры получили возможность для атаки посетителей всех ресурсов, использующих систему AdFox.
