Poprzedni Następny

Zatruty wodopój, czyli sieć malware w Polsce

Ponad 1000 polskich stron internetowych zarażało komputery odwiedzających je użytkowników złośliwym oprogramowaniem. To jeden z największych ataków na internautów w Polsce. A wykrył go nasz zespół Security Operations Center (SOC).

Wodopój – tak specjaliści od cyberbezpieczeństwa nazywają witryny, które wstrzykują złośliwe oprogramowanie do urządzeń użytkowników. Jest to niezwykle popularny schemat działania cyberprzestępców. Na czarnorynkowych forach dyskusyjnych można zamówić kampanię – płaci się za liczbę zarażonych maszyn. Zarażone komputery mogą zostać na przykład zaszyfrowane, by uzyskać okup, mogą być użyte w zmasowanym ataku na serwery, mogą też po prostu nasłuchiwać w poszukiwaniu wpisywanych haseł, PIN-ów czy numerów kart kredytowych. Co ciekawe – wodopojami nie są strony niszowe, strony z nielegalnym oprogramowaniem, niezaufane. Są to często witryny dobrze znane.

Po kilku tygodniach dochodzenia, specjaliści z naszego centrum cyberbezpieczeństwa SOC odkryli olbrzymią sieć takich wodopojów „pracujących” dla cyberprzestępców. Odkryli również serwer, który sterował tą siecią i mechanizm jego działania. Był on zlokalizowany, powiedzmy, poza centralną i zachodnią Europą. W zasadzie praca nad takimi przypadkami należy do codzienności specjalistów od cyberbezpieczeństwa. Jednak proces dochodzenia do prawdy rzuca światło na współczesne metody dochodzeniowe. Oto krótka historia tego postępowania.

Jeden bajt

Zaczęło się od znalezienia jednego wodopoju. Było to możliwe, ponieważ Exatel dysponuje dużą liczbą sond na punktach internetu przyłączenia do sieci klientów. Dzięki temu nasi specjaliści mogli zobaczyć, jakie dane są wysyłane do sieci wewnętrznej i jakie dane ją opuszczają. Próbkę złośliwego kodu przebadali, a analitycy zajęli się strukturą zarażonej strony.

Zazwyczaj bardzo trudno określić precyzyjnie, jak działa mechanizm zarażania. Cyberprzestępcy potrafią dobrze się maskować. Jednak dociekliwość informatyków popłaciła, a pomógł niewielki błąd cyberprzestępcy. Otóż przyłapano złośliwy kod na pozostawianiu jednego dodatkowego znaku w kodzie strony. Zarażona strona „wie”, z jakiego kraju pochodzi użytkownik, z jakiego komputera korzysta, jakiego adresu IP i przeglądarki używa. W zależności od tego wybiera rodzaj złośliwego kodu.

Analiza setek tysięcy przykładów pozwoliła na zidentyfikowanie 1000 stron serwujących malware klientom. Co ciekawe, metoda SOC Exatela pozwala na zidentyfikowanie wodopoju, który aktualnie jest wyłączony – pamiętajmy, że działają one w ramach kupowanych kampanii.

Pięć tygodni śledzenia

Znalezienie wodopoju czasami zależy od przypadku, a potem od mozolnej pracy. Półtora miesiąca temu nasza sonda zanotowała, że strona klienta zachowuje się dziwnie, prawdopodobnie jest zarażona. Okazało się, że zainstalowano na niej mechanizm wstrzykujący kod na maszyny użytkowników za pomocą tak zwanego exploit-kitu RIG.

Dzięki temu, że twórcy przeoczyli fakt, że w kodzie strony zostawał jeden dodatkowy znak, udało się znaleźć pierwszy ślad. Wiadomo więc było, że trzeba obserwować strony z podobnymi śladami. Po kilku tygodniach obserwacji nasi specjaliści odkryli schemat wstrzykiwania skryptów i adres serwera, który sterował całym procesem.

Prawdopodobnie w momencie publikacji tego tekstu przestępcy momentalnie zlikwidują błąd, który umożliwił przejrzenie ich planów. Jednak wartość edukacyjna tej historii jest nie do przecenienia. Pamiętajmy, że nie ma zaufanych stron w internecie. Pamiętajmy, że aktualizacja zabezpieczeń jest kluczowa. Warto również śledzić to, co mówią fachowcy. A o możliwości takiego zagrożenia mówili od dawna.

Pobierz raport w języku polskim

Pobierz raport w języku angielskim

Podobne