15:36
7/11/2012

Komisja ds. Smoleńska zhackowana?

Dziś około południa skontaktował się z nami dziennikarz portalu o2.pl prosząc o przyjrzenie się stronie www.smolenskzespol.sejm.gov.pl poświęconej badaniu przyczyn katastrofy prezydenckiego samolotu w Smoleńsku. Dziennikarz twierdził, iż zamiast strony widzi …Lady Gagę.

Jakie są objawy ataku?

Potwierdziliśmy, iż pod adresem hxxp://www.smolenskzespol.sejm.gov.pl, w kodzie strony zaszyte są odwołania (<iframe>) do świeżo co zarejestrowanych domen, głównie .ru, które hostują plik przekierowujący odwiedzającego stronę internautę na inne serwisy (w zależności od ustawień jego przeglądarki), a niekiedy próbującego infekować jego przeglądarkę złośliwym oprogramowaniem.

Atak na stronę komisji Macierewicza ds. Smoleńska

Atak na stronę komisji Macierewicza ds. Smoleńska

I tak, przeważnie przekierowani zostaniemy na (technicznie niegroźny) serwis ladygaga.com lub thelocal.de.

Atak na stronę komisji Macierewicza ds. Smolenska

Atak na stronę komisji Macierewicza ds. Smoleńska

Z kolei brak przesłania referera poskutkuje jednak przekierowaniem na google.com (prosty trick mający na celu utrudnienie analizy ataku).

Atak na stronę komisji Macierewicza ds. Smolenska

Atak na stronę komisji Macierewicza ds. Smoleńska

Co ciekawe, zmiana parametru odkrywa inne, powiązane z atakiem domeny:

Atak na stronę komisji Macierewicza ds. Smolenska

Atak na stronę komisji Macierewicza ds. Smoleńska

A podmiana typu parametru powoduje błąd po stronie serwera atakującego:

Atak na stronę komisji Macierewicza ds. Smolenska

Atak na stronę komisji Macierewicza ds. Smoleńska

Wszystkie domeny:
hxxp://redditssignupsetup.ru/appsumostrust.cgi?8
hxxp://highmediumlowfire.ru/callswithtrump.cgi?8
hxxp://mybackupmytaxrefund.ru/filetypebotnets.cgi?8

wskazują na ten sam adres IP (94.242.219.182) i nie są jeszcze rozpoznawane przez skanery bezpieczeństwa. Na próżno szukać ich także na blacklistach (są zbyt świeże). Jednak odpytanie o powiązaną, odkrytą poprzez zmianę parametru domenę zwraca następujący rezultat (tu raport Google):

Atak na stronę komisji Macierewicza ds. Smoleńska

Atak na stronę komisji Macierewicza ds. Smoleńska

Jak doszło do infekcji?

Złośliwe tagi <iframe> biorą się na stronie z plików .js będących składową strony — to pod ich koniec robak dokleił swój kod:

Atak na stronę komisji Macierewicza ws. Smoleńska

Atak na stronę komisji Macierewicza ws. Smoleńska

Warto podkreślić, że ciągła zmiana złośliwych domen w treści strony www.smolenskzespol.sejm.gov.pl sugeruje iż skutki ataku dalej nie zostały usunięte.

Infekcje tego typu to najczęściej wynik albo przestarzałego CMS-a (strona komisji pracuje pod kontrolą Joomli 1.5) albo zainfekowany komputer webmastera, który ma dostęp do plików na webserwerze, np. poprzez FTP (malware wykrada “zapamiętane” w kliencie FTP hasło, łączy się z serwerem docelowym i dopisuje swój kod do oryginalnych plików).

PiS w wypowiedzi dla Sfory twierdzi, że atak to wynik działania wirusa i zapowiada usunięcie usterki niebawem.

Ciekawostka

Opisywany przez nas niedawno atak na Gruzińskie serwery rządowe rozpoczął się właśnie od tego, że ktoś “zhackował” stronę internetową serwisu newsowego i wstrzyknął na nią złośliwy skrypt. Skrypt ten jednak był “inteligentny” — infekował wybranych internautów, tj. tylko tych którzy najprawdopodobniej byli pracownikami NATO. Idąc tym tropem… ;)

Przeczytaj także:

28 komentarzy

Dodaj komentarz
  1. Oj za dużo ostatnio Smoleńska w sieci. Strach otwierać lodówkę …

    • Przecież wiadomo, że była to katastrofa, a śledztwo w jej sprawie zostało przeprowadzone wzorowo i bez niejasności! Po co drążyć temat!

      A tak, żeby nie był offtop całkowicie, to ja stawiam na przestarzałą Joomlę i robota, który automatycznie wynalazł domenę i zgranie przeprowadził atak.

    • masz racje.. nie otwieraj. Zadziała naturalna selekcja w swej najdoskonalszej postaci..

    • “Przecież wiadomo, że była to katastrofa”

      Na tym powinieneś skończyć wypowiedź.

    • Webmaster na WinCommandrze… Mój typ.

  2. hxxp ???

    • not sure if trolling

    • Hyper Porno TransfeR Protocol

  3. Dodajcie adres http://acceleratedverdict.ru/statencurious.cgi?8 – u mnie to właśnie on się pojawia ;)

  4. ” Idąc tym tropem… ;)”
    Raczej nie ma co oczekiwać od PiS-u, że postąpi podobnie :P

    • Oj nie trolluj

  5. Niestety, bezpieczeństwo stron rządowych pozostawia wiele do życzenia. PS. Heh. Oczywiście, zwyczajem każdego szanującego się informatyka jest użycie do testów słowa “dupa”. ;)

  6. Jednym słowem: Spisek! Powstanie komisja do spraw badania infekcji, pod wodzą Pana M. Zbierze On grono ekspertów z zagranicy, bo polscy są umoczeni. Najpewniej kogoś z Polonii amerykańskiej, bo to ostatnio modne. Będą obradować przez 15 lat i okaże się że… to… Rosjanie i ta ich maszyna pogodowa, ehm wróć, zgraja złych hakerów inspirowana przez rząd(-y obojga narodów ?). Swoją drogą, może to ten hakier ;P https://niebezpiecznik.pl/post/gruzja-zhackowala-hackujago-ja-hackera/ A w lodówce wiejskie grzyby w sosie własnym.

  7. To ja dodam http://hamperswwwidzapcom.ru/overwritescombining.cgi?8

  8. “technicznie niegroźna”… powinniście robić szkolenia z ironii!

  9. apropos ciekawostki – to jest technika wodopoju – ‘Watering Hole’. Przyklad:
    blogs.rsa.com/will-gragido/lions-at-the-watering-hole-the-voho-affair/

  10. Myślę, że to nie był bezcelowy atak na nieaktualizowaną Dżumlę, a zamach! Administratorzy zostali zdradzeni o świcie! A całość powinna zbadać komisja śledcza na czele której powinien stanąć Pan Macierewicz i Minister Cyfryzacji.

  11. P, czy bardzo zabłysnę jak powiem, że FX nieaktualny? Tak bardzo chciałbym zaistnieć :(

    • Średnio ;) Bo chyba nie sprawdziles jak sie przedstawia 16.0.2… Also, nie ufałbym refererowi z Burpowego Repeatera z przyczyn wiadomych ;)

    • Tak czułem, że to jeszcze nie mój dzień :)

  12. to co wkrotce seryjny samobójca na niebezpieczniku:D?

  13. Miałem do czynienia z podobnym atakiem przeprowadzonym za pośrednictwem strony uruchomionej pod joomlą. Do folderu images/stories wgrany został skrypt php i uruchomiony zdalnie za pomocą POSTA, być może była to zainfekowana wtyczka do joomli.
    zainfekowane zostały wszystkie pliki z rozszerzeniem js w zasięgu działania skryptu.
    poprzez dopisanie na końcu pliku polecenia javascript: ;document.write(\’\’);

    Dysponuje skryptem php do usunięcia wpisów

    Pozdrawiam

    • W takiej sytuacji ściąga się czystą instancję ze strony producenta, a nie odpala kolejnie niewiadomego pochodzenia skrypty. ;)

      BTW, joomla? Srsly?

    • Zgadzam się z Szymonem, miałem to samo na Joomla! 1.5.
      @kot co do czystej instalacji to nie jest to takie proste, szybciej jest napisać ten skrypt, który szuka po prostu zdefiniowanego przeze mnie ciągu i go usuwa.

    • Pod warunkiem, że przy analizie nie przeoczyłeś żadnych “dodatków”. Wypadałoby zrobić diffa z czystą instalacją

    • A macie może taki skrypt, już jednego próbowałem, ale nie usunął wszystkiego.

  14. […] taki sam jak ostatnio — przestarzała Joomla. Nie mamy pojęcia kto opiekuje się tą stroną, ale nie robi tego dobrze — trochę przykre, […]

  15. […] PPS. To nie pierwszy raz, jak zespół Macierewicza ma problemy z technologią. Przez kilka tygodni oficjalna strona komisji była zainfekowana złośliwym oprogramowaniem… […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.