Masowe hakowanie stron WWW
Z najnowszych analiz wynika, że odnotowywane od mniej więcej tygodnia zmasowane ataki hakerskie z użyciem zainfekowanych stron WWW mają na celu wykradanie danych dostępowych do gier online.
W przypadku serwerów WWW chodzi wprawdzie pośrednio o systemy na bazie microsoftowych usług Internet Information Server (IIS) i ASP.NET, jednak według ekspertyz kilku firm z branży bezpieczeństwa napastnicy manipulowali witrynami najprawdopodobniej przez luki SQL Injection w aplikacjach webowych pisanych samodzielnie przez operatorów. Administratorzy powinni zatem sprawdzić systemy pod kątem ewentualnych manipulacji.
Przez lukę SQL Injection napastnicy byli (i są) w stanie dopisać własny kod HTML i JavaScript do bazy danych systemu zarządzania treścią (CMS). Umieszczali tam kod, który wykorzystując ramkę IFrame, pobierał exploit dla znanej od tygodnia usterki we Flash Playerze. Poza tym cyberprzestępcy starali się infekować komputery internautów trojanem. Jego zadanie polegało przypuszczalnie na wykradaniu danych dostępowych do azjatyckich serwisów dla graczy, takich jak aion.plaync.co.kr, aion.plaync.jp i df.nexon.com. Tymczasem usterkę Flash Playera zamknięto w wersji 10.1 programu.
Według informacji firmy Armorize, producenta sieciowych zapór aplikacyjnych (WAF), napastnicy działali w sposób dobrze przemyślany. Przed właściwym atakiem SQL Injection specjalne skrypty najpierw wyszukiwały potencjalnie niezabezpieczone systemy, a następnie infekowały je exploitem Zero Day. Zdaniem Armorize stosowano również techniki służące do omijania sieciowych zapór aplikacyjnych.
Sprawcą incydentu jest przypuszczalnie grupa hakerów z Chin znana pod nazwą dnf666, która już w marcu była podejrzewana o dokonanie większego ataku SQL Injection.
