To hakerzy ze Wschodniej Europy zaatakowali Facebooka?
Przyzwyczailiśmy się już, że większość wyrafinowanych ataków, wykorzystujących błędy typu 0day, przypisywana jest obcym rządom. Tymczasem nie należy zapominać, że za naszą wschodnią granicą też kwitnie wielki przemysł przestępczości internetowej.
Niedawne ataki na Twittera, Facebooka oraz Apple wykorzystywały błąd typu 0day w Javie, by zainfekować komputery programistów, tworzących aplikacje mobilne. O ile w przypadku Apple oraz Facebooka prawdopodobnie firmom udało się powstrzymać włamywaczy, zanim dostali się do ważnych obszarów sieci korporacyjnej, o tyle z Twittera udało się im ukraść dane i hashe haseł około 250 tysięcy klientów. Najnowsze przecieki ze śledztwa wskazują, że za tymi atakami wcale nie musieli stać Chińczycy.
Jak donosi agencja Bloomberg, powołując się na źródło, posiadające informacje o toczącym się śledztwie, celem włamywaczy była kradzież danych, które następnie można odsprzedać na czarnym rynku. Aż trudno sobie wyobrazić, jaką cenę mogła by osiągnąć baza danych kilkuset milionów użytkowników Twittera wraz z hashami ich haseł – nie mówiąc już o bazie Facebooka czy Apple.
Bloomberg wskazuje także, że miejscem, z którego rozpoczął się atak, był serwis iphonedevsdk.com – popularne forum poświęcone tematyce rozwoju oprogramowania dla iPhone’ów. Jak przyznają sami administratorzy forum, o udziale w incydencie dowiedzieli się dzisiaj z prasy. Wcześniej nie kontaktowała się z nim ani FBI, ani żadna w firm, które padły ofiarami ataku. Szybka analiza forum wykazała, że prawdopodobnie włamywacze wykradli hasło jednego z administratorów serwisu i korzystając z jego uprawnień zmodyfikowali szablon strony tak, by odwiedzającym użytkownikom serwował złośliwe oprogramowanie. Wstrzyknięty kod był dostarczany z serwera min.liveanalytics.org (raport urlquery z 23 stycznia nie zauważył zagrożenia). Co ciekawe, modyfikacja kodu została usunięta przez samego włamywacza 30 stycznia tego roku.
Według Bloomberga ofiarami włamywaczy padło prawie 40 firm. Jako pierwsze rzekomo zorientowało się Apple, jednak to prawdopodobnie Facebook powiadomił pozostałe ofiary po przejęciu domeny C&C włamywaczy (we współpracy z Fundacją Shadowserver). Bloomberg informuje także, że śledczy uważają, że autorami włamania była grupa przestępcza z Rosji lub innego kraju regionu. Świadczą o tym zarówno oprogramowanie użyte w ataku, jak i lokalizacja jednego z namierzonych serwerów, użytych w trakcie ataku.
Prawda o rosyjskich hakerach
Błędy w Javie, wykorzystane przez włamywaczy, powinny zostać załatane przez wczorajszą aktualizację (Version 7 Update 15), jeśli jednak odwiedzaliście serwis iphonedevsdk.com w ciągu ostatnich 2 miesięcy, to polecamy dokładne przeskanowanie komputera antywirusem z najnowszymi sygnaturami.
Podobne wpisy
- Operacja Triangulacja, czyli jak rosyjskie służby sieją dezinformację w oparciu o cudze badania
- Jak Ściąga.pl została zdjęta przez FBI, ale tak naprawdę to nie
- Revolut zhakowany, wykradziono dane ponad 50 tysięcy klientów
- Jak włamano się do Ubera i dlaczego najwyraźniej nie było to trudne
- Wielka afera – alarmujący raport o bezpieczeństwie Twittera
komentarze 2
[…] programistów tworzących aplikacje dla iPhona, zatem jest całkiem prawdopodobne, że mógł paść ofiarą tych samych włamywaczy co Twitter, Facebook, Apple oraz […]
[…] Niedawnym przykładem są ataki na programistów aplikacji mobilnych firm takich jak Twitter, Facebook, Apple czy Microsoft, gdzie przestępcy umieścili złośliwy kod na forum poświęconym rozwojowi […]