1041 zainfekowanych stron w polskim internecie

Specjaliści z centrum cyberbezpieczeństwa SOC firmy Exatel odkryli olbrzymią sieć wodopojów…

„Atak wodopoju” bo o takich wodopojach piszemy prowadzony jest z wykorzystaniem „niby” zaufanych witryn, które wstrzykują złośliwe oprogramowanie do urządzeń użytkowników. W darknecie można zamówić taką kampanię płacąc za liczbę zarażonych urządzeń.

Analitycy Exatelu wykorzystali fakt posiadania dostępu do dużej liczby sond w punktach przyłączenia internetu do sieci klientów. Dało im to możliwość porównania jakie dane są wysyłane do sieci wewnętrznej i jakie dane ją opuszczają. Próbkę złośliwego kodu przebadali, a analitycy zajęli się strukturą zarażonej strony.

W wiosennym miesiącu kwietniu sonda Fidelis zidentyfikowała u jednego z klientów Exatela w wewnętrznej sieci korporacyjnej wejście na polską stronę, która zawierała obcy fragment kodu. Wstrzyknięty w stronę kod został rozpoznany przez sondę jako mechanizm startowego przekierowania exploit-kitu RIG, „winną” witryną była strona poświęcona polskiej historii współczesnej.

Twórcy „złośliwcy” nie zauważyli że strona właściwa różniła się od zainfekowanej jednym bajtem. Dzięki temu badacze bezpieczeństwa zidentyfikowali 1041 zainfekowanych stron:

  1. jedną stronę w domenie GOV;
  2. strony gmin i powiatów;
  3. domeny i subdomeny 7 uczelni wyższych;
  4. strony imprez sportowych: maratonów, triatlonów i międzynarodowego turnieju tenisa ziemnego;
  5. stronę posła na Sejm RP;
  6. strony kancelarii prawniczych;
  7. portal z ofertami pracy;
  8. firmy projektujące elementy systemów automatyki przemysłowej (SCADA);
  9. szkoły podstawowe, przedszkola, licea, szkoły zawodowe;
  10. strony hufców ZHP, strony zgromadzeń zakonnych, fundacje i instytucje charytatywne;
  11. hotele, hostele i ośrodki wypoczynkowe;
  12. przychodnie opieki medycznej;
  13. firmy projektujące strony WWW i świadczące usługi informatyczne dla firm; internetową bramkę SMS;
  14. fora społecznościowe (w tym forum użytkowników znanego programu antywirusowego).

Zainteresowanym polecamy lekturę całego raportu .

 

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>