W poniedziałkowy poranek osoby odwiedzające strony internetowe w holenderskiej domenie .nl były zaskakiwane komunikatem o „trwających pracach konstrukcyjnych”. Większe zaskoczenie kryło się jednak pod komunikatem – był to Blackhole Exploit Kit.
Do ciekawego incydentu doszło na początku tego tygodnia w Holandii. Około godziny 3:30 w poniedziałek nieznani sprawcy zalogowali się na konto jednego z rejestratorów domen w serwisie SIDN, holenderskiego odpowiednika NASK zarządzającego domeną .nl i zmienili dane serwerów DNS jednego rejestratora. Na skutek tej zmiany wszystkie zapytania o domeny jego klientów trafiały na złośliwy serwer DNS, obsługiwany przez atakujących. Serwer ten dla wszystkich zapytań miał tylko jedną odpowiedź – stronę z komunikatem o trwających pracach konstrukcyjnych, wczytującą „przy okazji” Blackhole Exploit Kit. Atak dotknął tylko jednego rejestratora, jednak z jego usług korzystały 2 duże firmy hostingowe: Digitalus oraz VDX.
Do tej pory nie jest znany sposób, w jaki atakujący uzyskali dostęp do konta rejestratora domen. SIDN zapewnia, że nie miało miejsce przełamanie jego zabezpieczeń (chociaż jeszcze miesiąc temu znalazł na swoich stronach www nieautoryzowane pliki). Prawdopodobnie login i hasło zostały wykradzione z komputera, na którym zostały nieopatrznie zapisane. Atakujący postąpili bardzo sprytnie – ogłaszany przez nich adres IP, pod który kierowali wszystkie zapytania, miał ustawiony standardowo czas życia na 24 godziny, dzięki czemu, gdy o 6 rano rejestrator odkrył włamanie i usunął jego skutki, wiele serwerów DNS dostawców internetowych ciągle podawało nieprawidłowe dane. Niezbędne było zwrócenie się do największych firm w Holandii z prośbą o wyczyszczenie pamięci podręcznej ich serwerów DNS i odświeżenie wszystkich wpisów.
Sam atak, przeprowadzany za pomocą Blackhole Exploit Kit, nie był szczególnie wyrafinowany, jednak mógł być dość skuteczny w przypadku osób, korzystających ze starych wersji wtyczek w przeglądarkach. Serwowane były dwa exploity – na PDF (CVE-2010-0188) oraz na Javę, oba w momencie ataku rozpoznawane jedynie przez 3 z 45 programów antywirusowych wg serwisu VirusTotal. Instalowane złośliwe oprogramowanie było klientem botnetu, korzystającego do komunikacji z C&C z sieci Tor.
Incydent ten pokazuje, że aby zarazić się niepożądanym oprogramowaniem, nie trzeba wcale wchodzić na potencjalnie ryzykowne adresy jak strony porno czy kolekcje „cracków” do gier. W dzisiejszych czasach przestępcy najczęściej szukają ofiar wśród odwiedzających zwykłe serwisy internetowe, dlatego tak ważne jest bieżące aktualizowanie przeglądarek oraz ich wtyczek.
Komentarze
A wisi gdzieś link do analizy z VirusTotal?
Zobacz link do artykułu Fox-IT, tam znajdziesz.