Armia i Służby
Zatruty wodopój. Ponad 1000 stron zarażonych (Exatel Security Day 2017)
Ponad 1000 polskich stron internetowych zarażało komputery odwiedzających je użytkowników złośliwym oprogramowaniem. To jeden z największych ataków na internautów w Polsce. A wykrył go zespół Security Operations Center (SOC) w Exatel S.A. O raporcie mówił Jarosław Sporyszw prezentacji: „Krótka historia wędrownego bajtu 10” podczas Exatel Security Day 2017.  
Wodopój – tak specjaliści od cyberbezpieczeństwa nazywają witryny, które wstrzykują złośliwe oprogramowanie do urządzeń użytkowników. Jest to niezwykle popularny schemat działania cyberprzestępców. Na czarnorynkowych forach dyskusyjnych można zamówić kampanię – płaci się za liczbę zarażonych maszyn. Zarażone komputery mogą zostać na przykład zaszyfrowane, by uzyskać okup, mogą być użyte w zmasowanym ataku na serwery, mogą też po prostu nasłuchiwać w poszukiwaniu wpisywanych haseł, PIN-ów czy numerów kart kredytowych. Co ciekawe – wodopojami nie są strony niszowe, strony z nielegalnym oprogramowaniem, niezaufane. Są to często witryny dobrze znane.
Po kilku tygodniach dochodzenia, specjaliści z centrum cyberbezpieczeństwa SOC w Exatelu odkryli olbrzymią sieć takich wodopojów „pracujących” dla cyberprzestępców. Odkryli również serwer, który sterował tą siecią i mechanizm jego działania. Był on zlokalizowany, powiedzmy, poza centralną i zachodnią Europą. W zasadzie praca nad takimi przypadkami należy do codzienności specjalistów od cyberbezpieczeństwa. Jednak proces dochodzenia do prawdy rzuca światło na współczesne metody dochodzeniowe. Oto krótka historia tego postępowania.
Zaczęło się od znalezienia jednego wodopoju. Było to możliwe, ponieważ Exatel dysponuje dużą liczbą sond na punktach internetu przyłączenia do sieci klientów. Dzięki temu nasi specjaliści mogli zobaczyć, jakie dane są wysyłane do sieci wewnętrznej i jakie dane ją opuszczają. Próbkę złośliwego kodu przebadali, a analitycy zajęli się strukturą zarażonej strony.
Czytaj też: Prezes Exatela: Wystrzegajamy się zbyt dużej liczby strategii (Exatel Security Day 2017)
Zazwyczaj bardzo trudno określić precyzyjnie, jak działa mechanizm zarażania. Cyberprzestępcy potrafią dobrze się maskować. Jednak dociekliwość informatyków popłaciła, a pomógł niewielki błąd cyberprzestępcy. Otóż przyłapano złośliwy kod na pozostawianiu jednego dodatkowego znaku w kodzie strony. Zarażona strona „wie”, z jakiego kraju pochodzi użytkownik, z jakiego komputera korzysta, jakiego adresu IP i przeglądarki używa. W zależności od tego wybiera rodzaj złośliwego kodu. Analiza setek tysięcy przykładów pozwoliła na zidentyfikowanie 1000 stron serwujących malware klientom. Co ciekawe, metoda SOC Exatela pozwala na zidentyfikowanie wodopoju, który aktualnie jest wyłączony – pamiętajmy, że działają one w ramach kupowanych kampanii.
Wśród 1000 zainfekowanych stron są m.i.n:
- 1 strona w domenie GOV,
- strony gmin i powiatów,
- domeny i subdomeny 7 uczelni wyższych,
- strony imprez sportowych: maratonów, triatlonów i międzynarodowego turnieju tenisa ziemnego,
- strona posła na Sejm RP,
- strony kancelarii prawniczych,
- portal z ofertami pracy,
- firmy projektujące elementy systemów automatyki przemysłowej (SCADA),
- szkoły podstawowe, przedszkola, licea, szkoły zawodowe,
- strony hufców ZHP, strony zgromadzeń zakonnych, fundacje i instytucje charytatywne,
- hotele, hostele i ośrodki wypoczynkowe,
- przychodnie opieki medycznej,
- firmy projektujące strony WWW i świadczące usługi informatyczne dla firm, internetową bramkę SMS,
- fora społecznościowe (w tym forum użytkowników znanego programu antywirusowego)
Znalezienie wodopoju czasami zależy od przypadku, a potem od mozolnej pracy. Półtora miesiąca temu nasza sonda zanotowała, że strona klienta zachowuje się dziwnie, prawdopodobnie jest zarażona. Okazało się, że zainstalowano na niej mechanizm wstrzykujący kod na maszyny użytkowników za pomocą tak zwanego exploit-kitu RIG. Dzięki temu, że twórcy przeoczyli fakt, że w kodzie strony zostawał jeden dodatkowy znak, udało się znaleźć pierwszy ślad. Wiadomo więc było, że trzeba obserwować strony z podobnymi śladami. Po kilku tygodniach obserwacji nasi specjaliści odkryli schemat wstrzykiwania skryptów i adres serwera, który sterował całym procesem.