Таргетированные веб-заражения

Когда разговор заходит о заражении легитимных веб-сайтов, обычно вспоминаются различные массовые инфекции. Речь в таких случаях идет о заражении большого количества сайтов, объединенных по какому-то признаку. Как правило, либо взламывается крупный хостинг-провайдер, и злоумышленник получает доступ к размещенным на нем ресурсам, либо обнаруживается уязвимость в популярной системе управления содержимым веб-сайтами. Существуют и более изощренные схемы — достаточно вспомнить очень распространенных в свое время троянцев Gumblar и Pegel.

Однако некоторые злоумышленники работают по другой схеме. Недавно мы обнаружили нетривиальную серию заражений веб-ресурсов: злоумышленники не гонятся за количеством и целенаправленно заражают сайты известных российских организаций, СМИ и различных государственных служб.

Ниже приведен неполный список ресурсов, которые были подвержены заражению:

— Сайт хостинг-провайдера Infobox
— Сайт ОАО «РЖД»
— Сайт Free-lance.ru

— Несколько сайтов ИД «Комсомольская правда»
— Сайт группы «Интерфакс»
— Сайт ИД «Свободная пресса»
— Сайт ЗАО «Экспресс газета»

— Сайт кафедры теоретической механики и мехатроники механико-математического
факультета МГУ им. М. В. Ломоносова
— Сайт пермского лицея милиции

— Несколько сайтов главного управления МЧС России
— Несколько сайтов Роскомнадзора

После обнаружения заражения на этих сайтах мы связались с владельцами тех ресурсов, где своевременно не была устранена проблема, проинформировали их о ее наличии и дали рекомендации по защите от таких атак в будущем.

Вышеперечисленные ресурсы не связывает ни общий хостинг-провайдер, ни одна система управления содержимым веб-сайтами. Их объединяет только то, что они были заражены одними и теми же людьми.

Отметим, что злоумышленники использовали индивидуальный подход к каждому ресурсу и не действовали шаблонно. Результатом заражения во всех случаях был фрейм, который ссылался на вредоносный ресурс:

Однако встраивался он в исходную страницу не всегда одинаково. В части зараженных ресурсов фрейм был классическим образом записан в произвольное место страницы. В других случаях фрейм записывался в какой-нибудь структурный блок.

К примеру, в заголовок новости:

Или прямо в меню:

Такой изощренный способ заражения говорит о том, что, скорее всего, злоумышленники получили доступ не к самому серверу, на котором располагался веб-сайт, а к учетным записям систем управления содержимым, и проводили свои махинации именно через них.

Еще пару примечательных моментов:

— В названии некоторых вредоносных доменов, куда перенаправлялся пользователь, присутствовали названия зараженных ресурсов. То есть злоумышленники специально регистрировали доменные имена, сходные с именами заражаемых ресурсов.
— Злоумышленники вручную заражали некоторые ресурсы: для того чтобы сделать заражения более незаметными для администраторов, они днем убирали вредоносный код, а вечером снова вставляли.

После перехода на вредоносный ресурс компьютер пользователя атаковал набор различных эксплойтов для уязвимых версий Oracle Java и Adobe Acrobat/Reader, успешное исполнение которых влекло за собой установку в систему троянца Carberp.

Carberp – это наследник троянцев а-ля Zbot (ZeuS). Он отличается особенной жадностью: помимо различных пользовательских данных (в том числе и данных для доступа к онлайн-банкингу) пытается украсть идентификационные данные пользователя, сохраненные в различном ПО (в том числе и данные для доступа к FTP-серверам из популярных FTP-клиентов). Кроме того, Carberp имеет функционал кейлоггера.

Легко представить, какими могут быть последствия заражения тысяч компьютеров пользователей популярных легитимных ресурсов, которые даже не подозревают, что могут быть заражены — незаметно, в процессе покупки билета, чтения последних новостей или поиска работы.

Сложнее представить, какими могут быть последствия заражения, произошедшего после посещения государственных веб-ресурсов не простым пользователем, а работником государственной организации.

Стоит заметить, что при таких атаках уже не помогут простые советы по интернет-безопасности, вроде «не открывайте ссылки, пришедшие от недоверенных адресатов». Здесь нужна надежная и своевременная комплексная защита.

В наших продуктах такие атаки отражаются на нескольких уровнях. Сначала информация о веб-ресурсе и исполняемом файле ищется в «облаке». Если известно, что ресурс или файл вредоносный, заражение удается остановить уже на этой стадии. Если в «облаке» информации об этих объектах нет, или же интернет в момент проверки пользователю недоступен, то включается локальная защита в виде сигнатурного и/или эвристического сканирования. Если же злоумышленникам удалось обойти и эти компоненты, то начинает работать проактивная защита, которая отслеживает все действия, выполняемые вредоносной программой, и своевременно блокирует их.