Свыше ста тысяч веб-страниц, некоторые из которых принадлежат газетам,
полиции и другим крупным организациям, в течение последних нескольких дней
подверглись массированной кибератаке, в результате которой их посетители
перенаправлялись на подставной ресурс, предпринимавший попытки установки
вредоносного ПО.
По словам главного вирусного аналитика фирмы Sucuri Давида Деде, массовой
компрометации подверглись сайты, которые имеют модули баннерной рекламы,
работающие поверх серверов Microsoft IIS и использующие ASP.net. Среди
инфицированных ресурсов значатся Intljobs.org, главный сайт газеты The Wall
Street Journal, tomtom.com, сайт одного из британских полицейских отделений и
другие порталы. Во вторник общее число таких веб-страниц превышало 100 тысяч, на
момент написания статьи их оставалось около 7750.
Заражение веб-ресурсов происходило с помощью SQL-инъекций в поля ввода
поисковых запросов. Использование эксплоита позволило хакерам разместить на
пострадавших сайтах вредоносные IFrame, с помощью которых их посетители
перенаправлялись на страницу robint.us. Установленные там JavaScript пытались
инфицировать конечных пользователей вирусом Mal/Behav-290.
Сейчас сайт Robint.us уже отключен от Сети благодаря усилиям некоммерческой
организации Shadowserver Foundation. Отключение ресурса позволит аналитикам
Shadowserver получить полный список скомпрометированных сайтов и собрать
дополнительную информацию о способах осуществления атаки. Всю эту информацию в
ближайшее время планируется сделать доступной публично.
На данный момент известно, что SQL-атаки проводились с китайского IP-адреса
121.14.154.69. Более подробно этот вопрос освещается
здесь,
здесь и
здесь.
