Italská prácička sejmula 10 000 webů

22. 6. 2007

Minulý týden zahájila skupina internetových pirátů široký útok, který dosud zasáhl přes 10 000 stránek. Zasaženy byly hlavně weby v Itálii, postupně se však útok šíří do Evropy a celého světa.

Úspěšně napadené stránky obsahují kousek HTML „iFrame“ kódu, ten návštěvníka přesměruje na server, který se pokusí jeho počítač infikovat řadou škodlivého softwaru.

Konkrétní závažnost hrozby a malwaru záleží na použitém prohlížeči a jeho verzi. Kromě tradičního Internetu Exploreru jsou MPackem „podporovány“ i Firefox a Opera. Útok využívá řady známých i méně známých bezpečnostních děr, některé z nich byly již opraveny, větší hrozbě tak jsou vystaveni lidé s neaktuálním prohlížečem.

MPack obvykle instaluje keylogger, tedy program který zaznamenávají vložená data, hesla, čísla účtů, tyto pak odesílají na stránku útočníka, a dále aplikaci, která na pozadí stahuje trojské koně a to rovnou vícero druhů. Hacker si pak může s napadeným počítačem provádět kde co, například z něj posílat spam, stahovat soukromá data apod.

Minulý pátek podlehlo kolem 6 000 stránek, z nich 80% italských. Podlehly dokonce i stránky některých italských vládních institucí. V pondělí se však již počet překročil 10 000, přičemž mnohé z nově zasažených byly i mimo Itálii. Pokud je známo, v Česku nebyly zaznamenány výraznější „úspěchy“.

Útočníci jsou vybaveni softwarem na využívání webových chyb (exploitů) známého jako MPack, což je profesionální sada nástrojů ruské provenience. Útok kombinuje řadu dílčích pokusů o průlom zabezpečení webu, různé stránky podléhají různým typům útokům, výsledek je však vždy stejný.

Útok vzbudil zděšení jak u běžných uživatelů internetu, tak u mnoha odborníků. Naprostá většina zasažených stránek jsou přitom seriózní obchodní či informační prezentace, nikoli stránky pochybné pověsti podsouvající návštěvníkovi pod příslibem bezplatné pornografie záplavu malwaru a vyskakovacích oken.

Není jasné, jakože útoku podlehlo tolik stránek, podle Symantecu se zřejmě jedná o společnou bezpečností chybu na úrovni hostingu. Útočníci byli ve svém počínání skutečně velmi úspěšní a to jak co do absolutního počtu infikovaných webů, tak co do procentuální úspěšnosti, jak ukazuje tento přehled ze serveru Websense:

Šok souvisel právě i s tím, jaký typ stránek byl infikován. Tak se poněkud otřásá spolehlivost doporučení, že člověk si nejlépe zbezpeční počítač tím, že nebude navštěvovat „špatné“ stránky. Pozor už si tedy mnozí musí dávat nejen při návštěvě svých oblíbených hanbatých stránek, ale třeba i na serveru s burzovními informacemi. Případ vyšetřuje několik policejních institucí, mezi nimi i americká FBI, což znamená, že byli zasaženy i weby amerických institucí.