Полiт.ua Государственная сеть Государственные люди Войти
11 декабря 2016, воскресенье, 05:14
Facebook Twitter LiveJournal VK.com RSS

НОВОСТИ

СТАТЬИ

АВТОРЫ

ЛЕКЦИИ

PRO SCIENCE

ТЕАТР

РЕГИОНЫ

08 ноября 2012, 18:41

Сетевые СМИ на службе хакеров

Хакеры
Хакеры
vk.com

В четверг «Лаборатория Касперского» зафиксировала массовую атаку хакеров на ряд российских СМИ: «Интерфакс», «Вести», «Газета.ру», «Взгляд», «Ура.ру». Эксперты назвали это событие уникальным, поскольку в ходе атак злоумышленники использовали так называемый «бестелесный» вирус, способный функционировать, не создавая файлы в зараженной системе.

«Мы зафиксировали несколько вариантов заражения сайтов. Первый - через рекламные системы, когда вместе с рекламным баннером распространяется вредоносный код. Второй — злоумышленники получили доступ непосредственно к сайту или к новостному модулю, что позволило им добавить свой код», – рассказал «Полит.ру» эксперт «Лаборатории Касперского» Вячеслав Закоржевский.

По его словам, через зараженные интернет-сайты злоумышленники могли получить доступ и к компьютерам пользователей, которые туда заходили. «В данном случае при переходе пользователя на зараженный сайт, на его компьютер загружался бот Lurk. В нашем исследовании Lurk подгружал модуль, ворующий пароли от FTP-серверов. С помощью такого «зловреда» злоумышленники могут получить доступ к другим сайтам, что даст им возможность заразить и их тоже», – пояснил Закоржевский.

Вячеслав Закоржевский

Известно также, что вирус «работает» со всеми популярными браузерами. Для распространения вредоносного кода хакеры  использовали тизерную сеть, включающую в себя ряд известных новостных порталов.

 

Источник «Полит.ру», знакомый с методами работы хакеров,  отметил, что случай заражения сайтов через рекламные блоки не так интересен, это уже известная практика. «А вот некоторые страницы «Интерфакса» и других СМИ из данного списка содержали прямой (замаскированный)  код javascript, вставляющей фрейм с помощью Java-эксплойта (Exploit.Java.CVE-2012-1723.jl) и устанавливающий на компьютер бот Lurk. Это значит, что злоумышленники либо уже владели паролями от FTP-серверов «Интерфакса» и других СМИ, либо использовали полностью развязывающие руки уязвимости системы управления соответствующими сайтами. Их поиск, возможно, осуществлялся через автоматические сканеры уязвимостей системы управления сайтами».

По словам источника, получить выгоду от данных, которыми завладели киберпреступники, будет не так сложно: «злоумышленники смогут манипулировать частью сайтов под руководством неудачливых посетителей исходных страниц СМИ, возможно, как и в этом случае, незаметно для антивирусных программ. Выбрав момент, можно без труда монетизировать трафик, использовать сеть зараженных компьютеров для DDos-атак или вообще продать доступ к такой сети на черном рынке».

Сотрудники «Лаборатории Касперского» обнаружили хакерские атаки еще в конце октября. По их предположению, это были всего лишь тесты перед основной атакой. Злоумышленники использовали довольно хитрую систему, отработанную ими еще в марте. Тогда удалось выяснить, что заражению подверглись информационные ресурсы, использующие на своих страницах тизеры сети на основе технологии AdFox. Каждый день хакеры заражали одни и те же сайты не более, чем на 90 минут, оставаясь, таким образом, незаметными для администраторов. При этом жертвы подобных атак исчислялись тысячами. Только за сутки вирус попадал в компьютеры примерно полутора тысяч посетителей зараженных сайтов.

Механизм действия вредоносного ресурса заключается в следующем. При попытке загрузки одного из тизеров новостей бразуер пользователя скрытно перенаправлялся на вредоносный сайт. В отличие от стандартных drive-by-атак, во время которых вирус загружается на жесткий диск, в этот раз «бестелесный вирус» действовал только в оперативной памяти компьютера. Такие вирусы способны работать лишь до перезагрузки, но этого вполне достаточно, чтобы получить необходимые данные.

 

Алексей Дрозд

Руководитель направления по работе с вузами компании Searchinform Алексей Дрозд рассказал «Полит.ру», что организация этой атаки потребовала довольно серьезной подготовки. «Это крупные новостные ресурсы, которые ежедневно посещают миллионы людей. «Детских» дырок в безопасности там уже давно нет. Злоумышленники грамотно продумали стратегию по сокрытию своей деятельности. Вполне возможно, что они просто могли купить уже готовые уязвимости на «черном рынке». Но все равно этому должна была предшествовать долгая и упорная работа по их поиску (так как iframe отличаются и на разных ресурсах внедрены в различные места)».

 

Алексей Дрозд упомянул об опасности, которой подверглись пользователи данных ресурсов: «"Зловред", загружавшийся на машину "жертвы", умеет красть учетные данные от FTP, популярных браузеров (Opera, FireFox, IE) и файловых менеджеров (Total Commander). Кроме того, у трояна наверняка есть возможность при необходимости подгружать к себе «приятелей», нацеленных на платежные системы, системы ДБО и т.д». В итоге эксперт выделил две возможные цели злоумышленников: «Во-первых, заражение компьютера веб-мастеров и всех тех, кто в той или иной степени участвует в наполнении ресурса. После заражения на руках у злоумышленников оказывались пароли доступа к FTP-серверу, что позволяло уже самим на него залезть и модифицировать коды тех же баннеров. И здесь мы переходим ко второму вектору – массовое заражение посетителей ресурса».

Во время мартовских атак целью злоумышленников стал доступ к банковским счетам и паролям граждан, пользующихся интернет-услугами ряда крупных российских банков. В качестве бота вредоносная программа посылала на хакерский сервер запросы и данные о посещении сайтов из пользовательского браузера. Если в них содержалась информация об использовании системы дистанционного банковского обслуживания, на зараженный компьютер устанавливался троянский вирус Lurk, с помощью которого конфиденциальные данные попадали к хакерам.

В ходе расследования эксперты «Лаборатории Касперского» выяснили, что сама сеть AdFox не является источником заражения. С помощью аккаунта одного из пользователей AdFox хакеры изменили код баннера анонсов новостей. К основному коду была добавлена ссылка на вредоносный сайт. В результате хакеры получили возможность для атаки посетителей всех ресурсов, использующих систему AdFox.

Обсудите в соцсетях

Система Orphus

Главные новости

20:48 Михалков допустил критику «Ельцин-центра» без его посещения
20:33 В Петербурге умер старейший режиссер «Ленфильма» Сергей Микаэлян
19:52 НТВ показал «сенсационные откровения» оппозиционера Ильи Пономарева
19:24 Керри попросил у России «проявить милость» в отношении оппозиции в Алеппо
18:57 В ДТП на трассе под Оренбургом погибли семь человек
18:31 Иракская армия опровергла ошибочный удар ВВС США в Мосуле
17:58 Герман Греф стал медиаперсоной недели по версии «Полит.ру»
17:20 Глава антидопингового агентства США призвал исключить Россию из МОК
16:51 Мутко заявил о достижении Маклареном главной цели
16:24 Президенту Колумбии вручили Нобелевскую премию мира
16:08 Дочь Шойгу нашла «чудовищные ошибки» в учебниках по ОБЖ
15:56 Страны вне ОПЕК согласились сократить добычу более чем на 600 тысяч баррелей
15:32 Шипулин побил рекорд СССР и России по числу медалей на Кубке мира по биатлону
14:46 На Байконуре выдвинули новую версию причины аварии «Прогресса»
14:23 Вдова Ельцина назвала «лживыми» высказывания Никиты Михалкова
13:53 Минобороны организовало вывод мирных жителей с востока Алеппо
13:19 В Стокгольме состоится церемония вручения Нобелевских премий
12:54 Новый премьер Франции предложил продлить режим ЧП в стране
12:46 В Крыму более 15 тысяч человек остались без тепла из-за аварии
12:26 Новак подтвердил готовность России сократить добычу на 300 тысяч баррелей
11:52 В США военный вертолет экстренно сел на школьном футбольном поле
11:48 Billboard признал Мадонну женщиной года в музыке
11:30 В Мосуле при ошибочном ударе ВВС США погибли около 90 военных
10:50 СМИ узнали о планах Японии ослабить санкции и смягчить визовый режим с РФ
10:26 Samsung принудительно заблокирует в США все Galaxy Note 7
10:10 В Красноярске открыли первую в России церковь при торговом центре
09:44 Турцию обвинили в отправке в НАТО пророссийских чиновников
09:30 Команда Трампа высмеяла тему помощи со стороны России на выборах
09:20 Фигуристка Евгения Медведева установила мировой рекорд в короткой программе
01:51 Суд в Петербурге арестовал полковника Тимченко до 7 февраля
00:38 Президент Ганы заранее признал свое поражение на выборах
09.12 23:47 Суд арестовал главу угрозыска Калужской области
09.12 23:18 Армия Сирии прекратила наступление в Идлибе и Дамаске
09.12 23:13 Госсовет Франции отказал России в экстрадиции беглого банкира Аблязова
09.12 22:44 Дипломаты рассказали о намерении ЕС продлить антироссийские санкции
09.12 22:41 Мутко объяснил абсурдность обвинений WADA в его адрес
09.12 22:11 ООН приняла резолюцию о срочном прекращении боев в Сирии
09.12 22:01 Госдума отказалась запрещать трансгендерам жениться
09.12 21:52 Минэнерго РФ обещало поставить Украине запрошенный объем газа
09.12 20:54 СК начал проверку после инсценировки нападения боевиков на колледж в Тихвине
09.12 20:37 Захарова опровергла приписанное Лаврову оскорбление телеоператора
09.12 20:33 За год армия обошлась бюджету РФ вдвое дороже всех силовиков
09.12 20:19 Минтранс обещал выполнить наказ Путина насчет тарифов «Платона»
09.12 20:14 В Кремле не оценили высказывание советника Трампа о признании Крыма
09.12 20:02 Трехлетний мораторий на накопительную пенсию прошел третье чтение в ГД
09.12 19:55 После проверки МОК Россия может лишиться первого места в Сочи
09.12 19:30 В Голландии задержан предполагаемый террорист с флагом ИГ
09.12 19:21 Обама велел спецслужбам отчитаться об атаках «российских» хакеров
09.12 19:13 Кортеж Эрдогана попал в аварию в Стамбуле
09.12 18:55 Минюст заявил о возможности исключения «Левада-Центра» из иноагентов
Apple Boeing Facebook Google NATO PRO SCIENCE видео ProScience Театр Pussy Riot Twitter аварии на железной дороге авиакатастрофа Австралия автопром Азербайджан Александр Лукашенко Алексей Навальный алкоголь амнистия Анатолий Сердюков Ангела Меркель Антимайдан Армения армия Арсений Яценюк археология астрономия атомная энергия Афганистан Аэрофлот банковский сектор Барак Обама Башар Асад беженцы Белоруссия беспорядки бизнес биология ближневосточный конфликт болельщики «болотное дело» Борис Немцов Бразилия Великая Отечественная война Великобритания Венесуэла Верховная Рада взрыв взятка видеозаписи публичных лекций «Полит.ру» видео «Полит.ру» визовый режим Виктор Янукович «ВКонтакте» ВКС Владимир Жириновский Владимир Путин ВМФ военная авиация Вторая мировая война вузы выборы выборы губернаторов выборы мэра Москвы газовая промышленность «Газпром» генетика Генпрокуратура Германия ГИБДД гомосексуализм госбюджет Госдеп Госдума гражданская авиация Греция Гринпис Грузия гуманитарная помощь гуманитарные и социальные науки Дагестан Дальний Восток День Победы дети Дмитрий Медведев Дмитрий Песков Дмитрий Рогозин доллар Домодедово Донецк драка ДТП Евгения Васильева евро Евромайдан Евросоюз Египет ЕГЭ «Единая Россия» Екатеринбург естественные и точные науки ЖКХ журналисты закон об «иностранных агентах» законотворчество здравоохранение в России землетрясение «Зенит» Израиль Индия Индонезия инновации Интервью ученых интернет инфляция Ирак Ирак после войны Иран Иркутская область ислам «Исламское государство» Испания история История человечества Италия Йемен Казань Казахстан Канада Киев кино Китай Климат Земли, атмосферные явления КНДР Книга. Знание кораблекрушение коррупция космос КПРФ кража Краснодарский край кредиты Кремль крушение вертолета Крым крымский кризис культура Латвия ЛГБТ ЛДПР лесные пожары Ливия Литва литература Луганск Малайзия МВД МВФ медиа медицина междисциплинарные исследования Мексика Мемория метро мигранты МИД России Минздрав Минкульт Минобороны Минобрнауки Минфин Минэкономразвития Минюст мировой экономический кризис «Мистраль» Михаил Саакашвили Михаил Ходорковский МКС Молдавия Мосгорсуд Москва Московская область мошенничество музыка МЧС наводнение налоги нанотехнологии наркотики НАСА наука Наука в современной России «Нафтогаз Украины» некролог Нерусский бунт нефть Нигерия Нидерланды Нобелевская премия Новосибирск Новые технологии, инновации Нью-Йорк «Оборонсервис» образование ОБСЕ общественный транспорт общество ограбление Одесса Олимпийские игры ООН оппозиция опросы оружие отставки-назначения Пакистан Палестинская автономия пенсионная реформа Пентагон Петр Порошенко погранвойска пожар полиция Польша правительство Право «Правый сектор» преступления полицейских преступность происшествия публичные лекции Рамзан Кадыров РАН Революция в Киргизии рейтинги религия Реформа армии РЖД Роскомнадзор Роскосмос Роспотребнадзор Россельхознадзор Российская академия наук Россия Ростовская область РПЦ рубль русские националисты Санкт-Петербург санкции Саудовская Аравия Сбербанк связь связь и телекоммуникации Севастополь сельское хозяйство сепаратизм Сергей Лавров Сергей Собянин Сергей Шойгу Сирия Сколково Славянск Следственный комитет следствие Совет Федерации социальные сети Социология в России Сочи Сочи 2014 «Спартак» «Справедливая Россия» спутники СССР стихийные бедствия Стихотворения на случай стрельба суды суицид США Таиланд Татарстан театр телевидение теракт терроризм технологии транспорт туризм Турция тюрьмы и колонии убийство Украина Федеральная миграционная служба физика Финляндия ФИФА фондовая биржа Фоторепортаж Франсуа Олланд Франция ФСБ ФСИН ФСКН футбол Хабаровский край хакеры Харьков химическое оружие хоккей Центробанк Цикл бесед "Взрослые люди" Челябинская область Чечня шахты Швейцария Швеция школа шпионаж Эбола Эдвард Сноуден экология экономика экономический кризис экстремизм Южная Корея ЮКОС Юлия Тимошенко ядерное оружие Япония

Редакция

Электронная почта: politru.edit1@gmail.com
Адрес: 129343, Москва, проезд Серебрякова, д.2, корп.1, 9 этаж.
Телефоны: +7 495 980 1893, +7 495 980 1894.
Стоимость услуг Полит.ру
Свидетельство о регистрации средства массовой информации
Эл. № 77-8425 от 1 декабря 2003г. Выдано министерством
Российской Федерации по делам печати, телерадиовещания и
средств массовой информации. Выходит с 21 февраля 1998 года.
При любом использовании материалов веб-сайта ссылка на Полит.ру обязательна.
При перепечатке в Интернете обязательна гиперссылка polit.ru.
Все права защищены и охраняются законом.
© Полит.ру, 1998–2014.