[Akt.#2] Rosyjski portal rządowy od 3 lat pośredniczył w atakach ze złośliwymi reklamami

Niebywałe? Nie do końca. Podobny incydent obserwowaliśmy w naszym kraju. Trwał on nieprzerwanie od października 2016 roku aż do lutego roku bieżącego. Strona internetowa knf.gov.pl znajdowała się wśród zainfekowanych witryn należących do 104 organizacji w 31 krajach. Teraz za sprawą rosyjskiego dostawcy oprogramowania zabezpieczającego, firmy Doctor Web, dowiadujemy się, że do podobnych ataków mogło dochodzić nieprzerwanie od 2015 roku – celem hakerów stał się rosyjski portal rządowy gosuslugi.ru, konsolidujący informacje m.in. o otrzymaniu paszportu, pomocy socjalnej, emerytur, a także o podatkach i opłatach karnych.

Wspomniany portal, według statystyk serwisu Alexa.com, znajduje się na 27. miejscu wśród najczęściej odwiedzanych stron internetowych w Rosji. Biorąc pod uwagę liczebność populacji naszego wschodniego sąsiada, ilość infekcji lub złośliwych przekierowań, do jakich dochodziło od roku 2015, aż do dzisiaj, może być bardzo duża. Przedstawiciel firmy Yandex, rosyjskiej wyszukiwarki, nie wyklucza próby zainfekowania komputerów moderatorów i administratorów rządowej witryny. Z kolei przedstawiciel Kaspersky Lab, Jurij Namestnikov, twierdzi, że zainfekowana strona nakręcała kliknięcia w reklamy. Szkodliwe oprogramowanie AdWare.Script.Generic i Trojan.Script.Iframer wyraźnie sugeruje, że celem przestępców było zainfekowanie komputerów wirusem generującym kliknięcia.

Na chwilę obecną nie znamy dokładnych szczegółów technicznych. Całkiem prawdopodobne jest, że rosyjski portal wykorzystywano nie tylko do złośliwych przekierowań do domen zarejestrowanych w Holandii, ale także do ataków drive-by download. Mając jednak na uwadze obecne „cyberprzestępcze trendy”, moglibyśmy wskazać, jakie narzędzia mogli używać hakerzy do osiągnięcia swoich celów (zainfekowania komputerów):

  • Rig Exploit Kit jest ciągle wykorzystywany przez cyberprzestępców. Posiada co najmniej dwa warianty: RIG‐E i RIG‐V. Po upadku Angler Exploit Kit w ubiegłym roku stał się najczęściej stosowanym narzędziem do infekowania komputerów. Za jego pomocą infekowano polskich internautów, którzy zdołali w tym czasie odwiedzić ponad tysiąc różnych polskich stron internetowych. Według autorów tych doniesień, firmy Exatel, był to jeden z największych ataków na internautów w Polsce.
  • Beps, znany też jako Sundown Exploit Kit. Swoją największą popularność wśród cyberprzestępców osiągnął w 2016 roku i w latach wcześniejszych. Wykorzystywał identyczne techniki znane z innych zestawów exploitów, które prawdopodobnie zostały wykradzione i skopiowane „1:1”. Obecnie Sundown Exploit Kit jest nieaktywny z powodu wycieku kodu.
  • Magnitude Exploit Kit jest znaczącym zestawem exploitów w świecie cyberprzestępców. Zespołom bezpieczeństwa dał się poznać z ataków, w których wykorzystuje się złośliwe reklamy. Sieci reklamowe często nie są w stanie zweryfikować wszystkich reklam, które są za ich pośrednictwem wyświetlane w dużych portalach, jak np. java.com, youtube.com. Ataki z udziałem Magnitude EK skoncentrowane są głównie na państwach w Azji.

Wstrzyknięty kod

Doctor Web informuje o złośliwym przekierowaniu do strony zliczającej kliknięcia, co sugeruje cyberprzestępczą kampanię z reklamami (malvertising), a także wcześniejsze ataki drive-by download. W tym drugim przypadku stronę taką nazywamy „landing page”. Zazwyczaj automatyzuje ona infekcję, dopasowując exploita do systemu operacyjnego, zainstalowanej przeglądarki i uruchomionych wtyczek.


Rosyjski producent oprogramowania antywirusowego wykrył iframe w kodzie strony, która najprawdopodobniej została tam wstrzyknięta poprzez dziurawą web-aplikację lub skrypt.

W oficjalnym oświadczeniu rosyjskiego Ministerstwa Komunikacji nie odnajdujemy nic ciekawego.

Luka została załatana. Nie istnieją żadne negatywne konsekwencje dla użytkowników.

Do kluczowej kwestii bezpieczeństwa inaczej podchodziło samo źródło rozprzestrzeniania infekcji. Doctor Web podaje, że udostępnienie informacji o incydencie do opinii publicznej jest wynikiem braku zaangażowania administracji portalu w poprawę bezpieczeństwa.

Kluczowe wnioski z tej lekcji

Przypadki zainfekowania jednego z serwerów Komisji Nadzoru Finansowego oraz rosyjskiego portalu pokazują, że zagwarantowanie bezpieczeństwa publicznych stron internetowych powszechnie uznawanych za budzące zaufanie powinno być priorytetem nie podlegającym żadnej dyskusji. Jak zwykle najgorsze jest to, że po raz kolejny obrywają bezbronni, czyli internauci, którzy mało kiedy zdają sobie sprawę, w jaki sposób ich komputery mogą zostać zainfekowane.

Co mogą zrobić administratorzy stron internetowych? Przede wszystkim aktualizować serwisy, którymi się opiekują i zadbać o bezpieczeństwo także od strony plików na serwerze. Innymi słowy, skaner weryfikacyjny bezpieczeństwa plików, które składają się na całą stronę internetową, jest pomysłem dobrym i jak najbardziej na miejscu. Ciekawe, ile mamy w Polsce podobnych zainfekowanych stron internetowych, które zostały już dawno zapomniane i nie są aktualizowane?

Obawiasz się, że Twój program zabezpieczający nie ochroni Cię przed podobnymi atakami? Sprawdź test od AVLab, w którym atakowano komputery w podobny sposób. Może to najlepsza chwila, aby pomyśleć o swoim bezpieczeństwie i w końcu zainstalować lub zmienić obecne oprogramowanie ochronne?

[Aktualizacja #2, 14.07.2017]

Poprosiliśmy o komentarz przedstawicieli firmy Kaspersky Lab z Rosji.

Omawiany przypadek dotyczył wstrzyknięcia kodu i dotknął także wiele innych stron z rosyjskojęzycznego segmentu internetu. Wstrzyknięty kod to skrypt adware, który kieruje użytkowników na różne strony celem generowania ruchu. Skrypt należy do zorganizowanej sieci partnerskiej, która sprzedaje ruch. Sama kampania adware jest dość stara - pierwsze próbki tego skryptu były wykrywane już 2015 r. Do infekcji portalu najprawdopodobniej doszło poprzez zainfekowane rozszerzenia przeglądarki na komputerach administratorów lub osób redagujących witrynę gosulugi.ru, co oznacza, że maszyny te musiały zostać wcześniej zarażone szkodliwym oprogramowaniem.




Dodaj komentarz