Ponad tysiąc polskich stron WWW zarażało odwiedzających je internautów

dodał 21 czerwca 2017 o 13:19 w kategorii Włamania  z tagami:
Ponad tysiąc polskich stron WWW zarażało odwiedzających je internautów

Czasem w świecie bezpieczeństwa zdarza się, że analiza przypadku jednej ofiary prowadzi do identyfikacji setek kolejnych. Poniżej znajdziecie opis takiego właśnie ciągu odkryć przeprowadzonych przez zespół firmy Exatel.

Ataki wodopoju, czyli takie, w których atakujący czeka cierpliwie aż ofiary same do niego przybędą, nie są nam obce. Patrząc tylko na nasze podwórko – niedawno wodopojem były chociażby witryny KNFu czy Urzędu Rejestracji Produktów Leczniczych. Rzadko jednak zdarza się odkryć sieć ponad tysiąca polskich witryn, kontrolowanych z jednego miejsca i regularnie infekujących odwiedzających je internautów.

Uwaga
Gorąco polecamy lekturę całości raportu, zawierającego wiele ciekawych szczegółów – poniżej zamieszczamy jedynie krótkie streszczenie.

A zaczęło się tak niewinnie

Pewnego kwietniowego dnia sonda Fidelis u jednego z klientów Exatela zidentyfikowała w wewnętrznej sieci korporacyjnej wejście na polską stronę, która zawierała obcy fragment kodu. Wstrzyknięty w stronę kod został rozpoznany przez sondę jako mechanizm startowego przekierowania exploit-kitu RIG. Infekującą witryną był duży portal poświęcony polskiej historii współczesnej.

Analiza incydentu na poziomie trzeciej linii wsparcia SOC pozwoliła odkryć więcej podobnych wydarzeń w ciągu poprzednich sześciu miesięcy. Co ciekawe, każdy analogiczny incydent dotyczył polskiej witryny. Klienci Exatela nie byli atakowani przez exploit-kit RIG na żadnej witrynie zagranicznej. To dość nietypowa sytuacja, wskazująca na wycelowany charakter kampanii. Zmotywowało to zespół do dalszych analiz.

Wersja exploit-kitu – RIG-V – którą analitycy Exatela zaobserwowali na skompromitowanej stronie poświęconej współczesnej historii Polski, wykorzystywała exploity CVE-2016-0189 oraz CVE-2014-6332 dla luk w przeglądarkach Internet Explorer (IE9, 10 i 11) oraz exploity CVE-2015-8651 i  CVE-2015-5122 dla luk wtyczek Flash w wersjach poniżej 20.0.0.228. Gdy zainfekowaną stronę odwiedzał użytkownik IE lub przeglądarki ze starą wtyczką Flash, otrzymywał w prezencie ransomware Mole.

Szukamy dalej

W oparciu o charakterystykę wstrzykiwanego złośliwego kodu analitycy szybko zidentyfikowali kilkadziesiąt kolejnych stron zainfekowanych przez ten sam mechanizm. Następnie, dzięki chwilowemu błędowi autorów złośliwej kampanii udało się odkryć kolejną metodę identyfikacji złośliwych witryn. Błąd został jednak szybko usunięty. Wtedy analitycy zidentyfikowali kolejny błąd, pozwalający na odróżnienie strony zainfekowanej od niezainfekowanej, umożliwiający skuteczne przeskanowanie sieci w poszukiwaniu zarażonych witryn. Dzięki temu badacze do dzisiaj znaleźli w polskim Internecie 1041 domen, na których zidentyfikowano wodopój. Wśród skompromitowanych stron znalazły się m.in.:

  • 1 strona w domenie GOV,
  • strony gmin i powiatów,
  • domeny i subdomeny 7 uczelni wyższych,
  • strony imprez sportowych: maratonów, triatlonów i międzynarodowego turnieju tenisa ziemnego,
  • strona posła na Sejm RP,
  • strony kancelarii prawniczych,
  • portal z ofertami pracy,
  • firmy projektujące elementy systemów automatyki przemysłowej (SCADA),
  • szkoły podstawowe, przedszkola, licea, szkoły zawodowe,
  • strony hufców ZHP, strony zgromadzeń zakonnych, fundacje i instytucje charytatywne,
  • hotele, hostele i ośrodki wypoczynkowe,
  • przychodnie opieki medycznej,
  • firmy projektujące strony WWW i świadczące usługi informatyczne dla firm, internetową bramkę SMS,
  • fora społecznościowe (w tym forum użytkowników znanego programu antywirusowego)

Zdecydowanie największy odsetek skompromitowanych systemów, w których utworzono wodopoje, stanowią instytucje edukacyjne – szkoły podstawowe, licea, przedszkola, a nawet żłobki. Wśród zidentyfikowanych wodopojów, wyróżniają się także obszerniejsze, wielodomenowe kompromitacje systemów kilku instytucji. Ok. 30 domen i subdomen należących do systemu wodopojów rozpoznano w systemach 3 uczelni wyższych i zgromadzenia zakonnego. Badacze poinformowali o infekcji poszkodowane firmy i instytucje, lecz niestety część z nich miała spory problem z usunięciem problemu. Przyczyną infekcji prawdopodobnie po części były nieaktualne wersje popularnych systemów CMS.

Jeśli chcecie poznać szczegóły metody wykrycia zainfekowanych stron oraz zapoznać się z listą kampanii złośliwego oprogramowania prowadzonych za ich pośrednictwem zapraszamy do lektury całego raportu – naprawdę warto.