Prekursor Wikileaks, serwis Cryptome.org, został zaatakowane przez hakerów. Skrypt umieszczony na serwerze nie atakował niektórych zakresów IP – większość z nich należy do Google.
[Aktualizacja 16:50] Czytanie kodu php bez jego przetestowania może prowadzić do błędnych wniosków. Przeciwnie do naszej pierwszej interpretacji, skrypt nie atakował zakresów IP Googla, tylko wyłączał je spod swojego działania w celu uniknięcia wykrycia i umieszczenia na czarnej liście.
Cryptome.org jest mniej znanym, starszym bratem Wikileaks. Od prawie 16 lat (!) publikuje niejawne dokumenty dotyczące wolności wypowiedzi, kryptografii, podsłuchów, technologii wojskowych i szpiegostwa. Stanowi interesującą lekturę uzupełniającą dla wszystkich zainteresowanych poruszanymi kwestiami.
Dzisiaj serwis ogłosił, że 8 lutego padł ofiarą włamania. Nieznany włamywacz umieścił w serwisie skrypt, który został dodany do wszystkich stron HTML. Włamanie zostało wykryte po zgłoszeniu od jednego z odwiedzających stronę, którego system antywirusowy wykrył zagrożenie. Właściciele serwisu do tej pory nie wiedzą, jak doszło do włamania.
Ciekawa jest konstrukcja wstrzykniętego skryptu. Zamiast atakować każdego odwiedzającego, wyłącza kilka zakresów adresów IP. Wyłączone adresy IP należą w znakomitej większości do Google.
if(
net_match('64.233.160.0/19',$ip)==0 &&
net_match('66.102.0.0/20',$ip)==0 &&
net_match('66.249.64.0/19',$ip)==0 &&
net_match('72.14.192.0/18',$ip)==0 &&
net_match('74.125.0.0/16',$ip)==0 &&
net_match('89.207.224.0/24',$ip)==0 &&
net_match('193.142.125.0/24',$ip)==0 &&
net_match('194.110.194.0/24',$ip)==0 &&
net_match('209.85.128.0/17',$ip)==0 &&
net_match('216.239.32.0/19',$ip)==0 &&
net_match('128.111.0.0/16',$ip)==0 &&
net_match('67.217.0.0/16',$ip)==0 &&
net_match('188.93.0.0/16',$ip)==0
)
return true;
}
Pierwsze 10 klas adresowych należy do Google. Jedenasta to University of California, Santa Barbara. Klasy 12 i 13 należą do różnych firm, które trudno jednoznacznie określić.
Zakres atakowanych przeglądarek został istotnie zawężony.
$user_agent = $_SERVER["HTTP_USER_AGENT"];
if (preg_match("/MSIE 6.0/", $user_agent) OR
preg_match("/MSIE 7.0/", $user_agent) OR
preg_match("/MSIE 8.0/", $user_agent)
) $OOOOOO000 = "MSIE";
}detect_brows();
Exploit, do którego przekierowuje skrypt, serwowany jest tylko w przypadku, gdy przeglądarka to Internet Explorer 6, 7 lub 8. Skrypt sprawdza również system operacyjny (w oparciu o identyfikator przeglądarki) i atakuje tylko systemy Windows. Exploit, zidentyfikowany jako Blackhole Toolkit w wersji 12, serwowany jest z adresu http://65.75.137.243/Home/index.php.
Jak widać, atakujący nie chciał, aby jego skrypt został szybko rozpoznany przez serwis Googla. Zagadką pozostaje sposób, w jaki pliki zostały umieszczone na serwerze Cryptome.
