Хостинг-провайдеры и специалисты по сетевой безопасности регистрируют резкий рост трафика на веб-сайтах, работающих на движке WordPress. Используя десятки тысяч IP-адресов, неизвестные злоумышленники пытаются получить доступ к административной панели сайтов перебором логин-паролей по словарю (метод brute force). В случае успеха взломанный ресурс становится частью ботнета и подключается к текущей серии атак.

Попытки массового взлома WordPress нередки, однако на сей раз хакеры действуют с небывалым размахом. По данным мониторинговой компании Sucuri, число заблокированных брут-форс атак на платформу WordPress в апреле утроилось и в среднем составляет 77,4 тыс. атак в сутки, а на пике превышает 100 тысяч. Боты запрашивают /wp-login.php и пытаются осуществить вход, оперируя списком из 1 тыс. популярных комбинаций логин-пароль. Чаще всего они авторизуются под именем admin, а из паролей отдают предпочтение admin, 123456, 666666, 111111, 12345678 и qwerty. На взломанный сайт внедряется бэкдор, обеспечивающий злоумышленникам удаленный контроль над ресурсом.

По оценке компании HostGator, которая первым из хостинг-провайдеров обнародовала информацию о глобальном инциденте, в хакерскую кампанию вовлечены свыше 90 тыс. разноплеменных IP адресов. Их мишенью является не только WordPress, но и Joomla, хотя и в значительно меньшем объеме. Оператор крупнейшей CDN сети CloudFlare, который обслуживает, по собственным оценкам, около 3% подаваемых по Сети запросов, за час заблокировал 60 млн. обращений к своим клиентам, использующим WordPress. При этом с каждого атакующего IP-адреса за раз подается всего лишь один запрос.

CloudFlare полагает, что атакующие оперируют небольшим ботнетом, составленным из домашних ПК, и намереваются создать более солидную сеть на базе веб-серверов. Последние доступны круглосуточно и способны генерировать мощный трафик, к тому же их не так-то легко заблокировать. Построенный на серверах ботнет может причинить большой ущерб, работая на фишеров, распространяя зловредов или участвуя в DDoS-атаках – например, с использованием эффективного набора скриптов itsoknoproblembro.

В этом печальном событии есть своя ложка меда: его масштабность подвигла хостинг-провайдеров на совместный поиск решений. В Сети стала появляться информация «из первых рук», предложения и рекомендации для многочисленных пользователей WordPress. Компания CloudFlare, как всегда, готова играть в открытую и поделиться с коллегами своей базой IP-адресов, участвующих в хакерском нападении. Ее эксперты загрузили на CDN-сеть сигнатуру атаки и блокируют все вредоносные запросы. Разработчик WordPress выложил в своем блоге предупреждение, отметив, что при таких масштабах атаки ограничение по IP-адресу или искусственное замедление процедуры авторизации не имеют большого смысла. По его мнению – и в этом с ним согласны все хостеры, все пользователи атакуемой платформы должны незамедлительно усилить пароли, включить опцию двухфакторной аутентификации, недавно введенную в обиход, а также удостовериться в актуальности установленной версии WordPress и плагинов.

Для справки: в декабре прошлого года в интернете насчитывалось 634 млн. веб-сайтов, в том числе 59,4 миллиона, построенных на WordPress. В настоящее время эту CMS используют более 64,2 млн. сайтов с совокупным числом просмотров 371 млн. в месяц.

На днях венгерская лаборатория CrySyS Lab (Лаборатория криптографии и системной безопасности) совместно с Управлением национальной безопасности Венгрии (NBF) опубликовала подробную информацию о резонасной целевой атаке против Венгрии. Данные по конкретным целям атаки не сообщаются, а подробности инцидента остаются засекреченными.

Учитывая возможные последствия подобной атаки, Глобальный центр исследований «Лаборатории Касперского» выполнил технический анализ кампании и связанных с ней образцов вредоносного ПО.

Ниже представлен короткий перечень ответов на часто задаваемые вопросы. Вы можете также загрузить документ, в котором представлены данные выполненного нами технического анализа. Ссылка на него дана в конце этой заметки.

Что это такое?

«TeamSpy» — это операция в области кибершпионажа, целями которой являются политические деятели и правозащитники высокого уровня на всей территории СНГ и восточноевропейских стран. В число жертв также входят государственные организации и частные компании. Атаки продолжаются уже почти десять лет. В частности, о них в 2012 году писали белорусские активисты.

Почему было выбрано название TeamSpy?

Злоумышленники удаленно управляют компьютерами жертв, используя легитимное средство удаленного управления TeamViewer. Это приложение, подписанное действительными цифровыми сертификатами, использует более 100 миллионов пользователей по всему миру. Чтобы не позволить пользователю обнаружить слежку, злоумышленники динамически изменяют код TeamViewer в оперативной памяти, чтобы скрыть все признаки своего присутствия в системе.

Некоторое время назад наши системы мониторинга обнаружили признаки drive-by загрузок эксплойтов на группе схожих сайтов, при этом в кодах этих сайтов не наблюдалось ничего вредоносного. Мы решили изучить эти сайты более внимательно.

На первый взгляд, общим у всех замеченных в подозрительной активности сайтов было только одно — все они относились к категории «сайтов для взрослых» (далее — порносайты). Код сайтов действительно оказался чистым, соответственно, мы пришли к выводу, что источник заражения находится где-то еще и стали изучать внешние ссылки. Порносайты обычно используют кучу внешней рекламы, перекрестных ссылок и т.д., и разбирать все это довольно хлопотно (не говоря уж о том, что приходится повидать в процессе изучения). К счастью, выяснилось, что все исследуемые площадки используют код одной и той же баннерной сети, который выглядит вот так:

28 ноября сайт Softpedia.com — популярный англоязычный сайт, индексирующий информацию и предлагающий для скачивания ПО — сообщил о том, что некий хакер из Алжира под ником MCA-CRB смог взломать сайты Google (google.ro) и Yahoo! (yahoo.ro), относящиеся к национальному домену Румынии.

Скриншот взломанного сайта Google.ro

В Румынии на 2 года условно осужден Маноле Разван Чернэяну (Manole Razvan Cernăianu), он же TinKode, который приобрел скандальную известность после взлома ряда ключевых ресурсов США и Западной Европы. Хакеру также придется возместить ущерб потерпевшим, который оценивается в 120 тыс. долл.

При вынесении решения по делу TinKode суд учел, что обвиняемый не стремился извлечь материальную выгоду из своих дерзких вторжений. Он атаковал именитые ресурсы исключительно для самоутверждения, нередко писал своим жертвам, указывая на уязвимости, и по-мальчишески хвастался своими подвигами в социальных сетях и на форумах. Среди «боевых трофеев» хакера числятся сайты Пентагона, НАСА, Европейского космического агентства, британских ВМС, а также MySQL, ныне собственности Oracle.

TinKode был задержан румынской полицией в минувшем январе и по апрель содержался под стражей. Окончившееся арестом расследование проводилось с подачи и при активном участии ФБР и НАСА, посему в деле хакера фигурировали лишь инциденты, затронувшие интересы американцев. Румынский суд признал взломщика виновным по 6 таким эпизодам; все сроки (1-2 года) тот будет отбывать параллельно ― за вычетом того времени, которое он провел под арестом. По окончании условного срока TinKode предстоит провести 4 года под надзором. В качестве компенсации он должен выплатить Oracle 59 тыс. долл., НАСА ― 50 тыс. долл., армии США 5 тыс. долл. и Пентагону около 7,3 тыс. долл. Судебные издержки и услуги адвоката будут оплачены также за его счет.  

Недавно нам встретился web-зловред (http://www.securelist.com/en/blog/208193624/Who_is_attacking_me), который вместо внедрения iframe, указывающего на фиксированный существующий адрес, генерирует псевдослучайное доменное имя, зависящее от текущей даты. Такой подход не нов – он широко используется ботнетами при генерировании доменного имени командного сервера; однако он не особо типичен для web-зловредов, которые мы видели до сих пор.

После деобфускации видим, что iframe, перенаправляющий пользователя на вредоносный URL-адрес со сгенерированным доменным именем, прикреплен к HTML-файлу. Все URL-адреса состоят из 16 псевдослучайных букв, относятся с домену .ru и выполняют PHP-скрипт на стороне сервера со строкой sid=botnet2 в качестве аргумента:

Каждый день создается новое доменное имя, так что бороться с ними, внося становящиеся активными вредоносные URL-адреса в черные списки, сродни донкихотству. К счастью, если мы знаем алгоритм, мы можем легко прогнозировать доменные имена для любой будущей даты. Этот зловред детектируется продуктами «Лаборатории Касперского» как Trojan-Downloader.JS.Agent.gsv.

Британский студент приговорен к 2 годам и 2 месяцам лишения свободы за создание и хранение программ, предназначенных для использования в мошеннических схемах.

Согласно материалам дела, Эдвард Пирсон (Edward Pearson) появлялся в хакерской среде под ником G-Zero. В отличие от многих «коллег по цеху», атаковавших чужие ресурсы из корыстных побуждений, он видел в хакерстве возможность поупражняться в решении головоломных задач. Следствие установило, что Пирсон причастен к взломам сайтов AOL и Nokia (предположительно к прошлогоднему инциденту на форуме разработчиков приложений), которые он осуществил путем SQL-инъекций, получив доступ к базам данных персонала. Он также создал Python-сканер, с помощью которого обнаружил 200 тыс. уязвимых учетных записей на PayPal.

Иногда сей хакер по призванию делился своими находками на форумах, но никогда не занимался продажей информации, добытой противозаконным путем. При обыске у Пирсона были найдены списки, содержащие свыше 8 млн. имен, дат рождения и почтовых индексов взрослых жителей Великобритании, а также 2,7 тыс. номеров кредитных и платежных карт, по которым при желании он мог бы суммарно получить более 800 тыс. фунтов стерлингов (около 1,3 млн. долл.). Тем не менее, обладая столь обширной базой чужих ID, .молодой человек истратил лишь 2,35 тыс. чужих фунтов (немногим более 3,7 тыс. долл.) на мелкие нужды. Правоохранительные органы заинтересовались Пирсоном благодаря его подружке, обладательнице рокового имени Кассандра, которая опрометчиво пыталась расплатиться в отеле поддельной кредиткой.

Несколько интересных штрихов к портрету старомодного хакера добавил известный американский исследователь Гэри Уорнер (Gary Warner). На одном из хакерских форумов Пирсон именует себя программистом-фрилансером и легальным пентестером, который, тем не менее, умеет писать эксплойты, взламывать сайты на заказ, создавать пуленепробиваемый хостинг, угонять ботнеты. Он также бахвалится, что долгое время экспериментировал со зловредами, занимался хакерством, кражей финансовой информации и другими темными делами.

Однако, по его собственному признанию, даровитый юноша никогда не имел дела с ботами и, ознакомившись с общедоступной версией ZeuS, пришел в восхищение. Он начал активно искать людей, способных посвятить его во все тонкости ремесла ботовода, а также более достойную модификацию полюбившегося троянца, чтобы построить собственную бот-сеть. Очевидно, Пирсон худо-бедно решил новую задачу, так как год спустя на другом теневом форуме появилась торжествующая запись о взломе ботнета, созданного G-Zero на основе SpyEye. В доказательство своих слов автор взлома привел версии SpyEye, используемые неофитом, регистрационные данные к его сайтам и IP-адреса командных серверов ботнета.

Уорнер также пишет, что в хакерской среде было хорошо известно, кто такой G-Zero. Пирсон довольно небрежно обращался с личными данными, нередко регистрировал домены, онлайн-счета и аккаунты на публичных сервисах на свое имя, указывая свой настоящий адрес, ник и email. Посему, когда пробил его час, британским полицейским не составило особого труда опознать владельца почтового ящика eddypearson@gmail.com как G-Zero. И Пирсон, и Кассандра Менним (Cassandra Mennim) признали свою вину по всем пунктам. В отличие от хакера, его подруга получила 1 год условно.

В Румынии задержан 20-летний студент, подозреваемый во взломе сайтов Пентагона и НАСА.

Полицейские убеждены, что будущий ИТ-профи Маноле Разван Чернэяну (Manole Razvan Cernăianu) ― не кто иной, как TinKode. Сей азартный взломщик известен тем, что атакует именитые сайты для забавы, похваляется своими «подвигами» в социальных сетях и публикует обнаруженные уязвимости. На счету TinKode немало «боевых трофеев», хотя предпочтение он отдает американским ресурсам. Два года назад от его проделок пострадал официальный сайт британских ВМС, лишившись ряда паролей. TinKode также причастен к взлому сайтов Европейского космического агентства и MySQL, куда он цинично проник посредством SQL-инъекции.

Поскольку в расследовании, помимо румын, принимали участие ФБР и НАСА, Чернэяну инкриминируются лишь незаконное вторжение в американское пространство и нарушение нормального функционирования компьютерных ресурсов. В доказательство новых успехов хакер успел опубликовать видеоролик с демонстрацией кибератак, а также предлагал в своем блоге поделиться хакерским инструментарием.

После крупномасштабного взлома базы данных интернет-магазина Zappos руководство компании поступило совершенно правильно, когда быстро и ясно сообщило, к каким данным злоумышленники получили доступ, а к каким нет. При раскрытии информации о произошедшем не было непонятных задержек и путаницы в показаниях. Мне в этой связи вспоминается эпизод с атакой Aurora, когда компания Google неожиданно сообщила об проведенной злоумышленниками атаке на их серверы, в то время как порядка 30 других крупных корпораций, пострадавших от атаки, предпочли спрятать голову в песок и старательно скрывали информацию об инциденте, прикрываясь соглашениями о неразглашении. Zappos сменила пароли 24 миллионов пользователей и отправила каждому из них сообщения о возникшей накануне проблеме.

Известно, что злоумышленники активно пользуются крупными информационными поводами для достижения своих целей: обмана или заражения пользователей. Темами могут быть, к примеру, смерть Каддафи или праздник Дня памяти. Как правило, злоумышленники ограничиваются рассылкой тематического спама, сообщений в социальных сетях или продвижением вредоносного веб-сайта в выдаче поисковых систем по популярным у пользователей запросам.

Однако, как выясняется, злоумышленники способны на большее. Четвертого декабря в России состоятся выборы в Государственную думу. Накануне избиратели активно посещают веб-сайты партий с целью получения различной информации о кандидатах и предвыборной программе. И, выполняя даже такие безобидные действия, ничего не подозревающие пользователи могут быть атакованы.