Uwaga na rządową witrynę infekującą odwiedzających ją użytkowników ransomware

dodał 21 lutego 2017 o 10:28 w kategorii Złośniki  z tagami:
Uwaga na rządową witrynę infekującą odwiedzających ją użytkowników ransomware

Niestety przypadek strony KNFu infekującego gości nie jest odosobniony. Od kilku dni odwiedzających infekuje strona Urzędu Rejestracji Produktów Leczniczych a obserwowany złośliwy kod szyfruje dyski pechowych użytkowników.

Ostrzeżcie znajomych lekarzy, farmaceutów i osoby z sektora medycznego. 17go lutego od jednego z Czytelników otrzymaliśmy informację o tym, ze witryna www.urpl.gov.pl próbuje infekować odwiedzających ją użytkowników. Gdy spojrzeliśmy na kod, okazało się, że najwyraźniej własnie przestała zarażać, zatem nie poruszaliśmy już tego tematu. Wczoraj okazało się jednak, że infekcje nadal trwają. Problem zgłszaliśmy już w paru miejscach, lecz do tej pory bez skutku. Może ten artykuł pomoże obudzić osoby odpowiedzialne.

Wstrzyknę Ci ramkę

Na serwerze URPL najwyraźniej znajduje się nieautoryzowany złośliwy kod, który decyduje o tym, komu i co wstrzykąć do okienka przeglądarki. Aby otrzymać dodatkową treść trzeba się przedstawić jako Internet Explorer. Wstrzykiwana treść cały czas się zmienia, ale wg dostępnych informacji prowadzi do exploit kita Rig, czyli narzędzia atakującego przeglądarki. Samemu atakowi zaraz się przyjrzymy, najpierw pokażemy objawy. Aby zobaczyć efekt samemu najlepiej nie tylko sfłaszować pole User Agent w przeglądarce, ale trzeba także usunąć ciasteczko _PHP_SESSION_PHP, którego obecność sprawia, że złośliwy kod nie jest już wstrzykiwany (w Chrome przyda się np. wtyczka EditThisCookie oraz UA Spoofer).

IE8 otrzymuje np. taki kod (z ciągiem „Microsoft_Edge):

IE 9 w miejscu „Microsoft_Edge” zobaczy „Vivaldi” a IE 10 „SeaMonkey” – nie pytajcie nas dlaczego, nie wiemy co przyświecało autorowi.

Domeny które do tej pory zauważyliśmy to:

Kod serwowany z tej ramki przekierowywał do kolejnej strony na tym samym serwerze, która z kolei serwowała zaciemniony plik JS, który serwował plik SWF, który powinien był zaserwować końcowy złośliwy ładunek, lecz nasze eksperymenty z jego pobraniem nie powiodły się. Pliki pobrane w trakcie przygotowywania artykułu znajdziecie tutaj (hasło: infected). Na szczęście domeny, które widzieliśmy, nie sa obce innym badaczom, którzy mieli więcej szczęścia i umiejętności i doszli do tego, co ten exploit kit serwował – a było to najczęściej ransomware Cerber lub niezidentyfikowany plik DLL.

Skąd ta infekcja i co z nią można zrobić

Oczywiście mozemy tylko spekulować – ale pierwszym pomysłem jest dostępna na serwerze URPL informacja, że korzysta on z Drupala w wersji 7.41 z października 2015, w którym nie brakuje znanych podatności. Wczoraj ok. godziny 14 wysłalismy pełną informację o naszych ustaleniach na adresy Gabinetu Dyrektora Generalnego odpowiedzialnego za Biuro Informatyki oraz do rzecznika urzędu. Wobec braku reakcji ok. godziny 21 zgłosiliśmy także incydent w CERT.GOV.PL. Niestety widzimy, że mimo, iz zbliża się 11, witryna jest nadal dostępna i nadal infekuje użytkowników. Może znacie kogoś, kto mógłby ją wyłączyć?

Przy okazji smutna refleksja – ciekawe, ile niezaktualizowanych komputerów z Windows XP i Internet Explorerem 8 znajdujących się w placówkach służby zdrowia, które witrynę URPL odwiedzają, padło ofiarą ransomware dzięki tak dalece posuniętej niefrasobliwości URPL. Obawiamy się jednak, że tak jak przykład KNF, tak przykład URPL niewiele zmieni.

Aktualizacja 12:00

Chwilę temu otrzymaliśmy odpowiedź od URPL:

W związku z kilkoma sygnałami o potencjalnym zagrożeniu, jakie może stwarzać witryna internetowa Urzędu, prowadzony jest obecnie we współpracy z zewnętrznym wykonawcą audyt bezpieczeństwa tej witryny. Nie mieliśmy do tej pory żadnej potwierdzonej informacji o zainfekowaniu jakiegokolwiek komputera poprzez witrynę Urzędu. Jeżeli jest  Pan w posiadaniu takich informacji, uprzejmie prosimy o przekazanie ich do Biura Informatyki Urzędu na adres poczty elektronicznej [wyciety by nie generować spamu] wraz z podaniem szczegółów zdarzenia. Dziękujemy za przekazanie informacji technicznych, które zostaną wykorzystane w trakcie prowadzonego audytu.

Niestety witryna nie została wyłączona i nadal zawiera złośliwe oprogramowanie.

Aktualizacja 16:00

URPL nadal serwuje złośliwe oprogramowanie mimo świadomości istnienia takiego zagrożenia. Co więcej, publikuje na swoim Facebooku linki zachęcające do odwiedzania witryny. Czy to się nadaje już do prokuratury?

Dziękujemy Dariuszowi za zgłoszenie problemu i anonimowym analitykom, którzy spędzili czas nad jego analizą.