Wirusy czyhają na "legalnych" stronach

Większość witryn próbujących zainfekować komputery odwiedzających je internautów złośliwym kodem stanowią obecnie "legalne" strony, które zostały przejęte przez przestępców. Stanowią one 51% wszystkich stron zawierających wirusy, robaki, czy konie trojańskie.

Tak przynajmniej wynika z raportu przedstawionego przez amerykańską firmę Websense - jej specjaliści szacują, że w tej chwili w Sieci może być aktywnych ok. 2,5 mln stron, które próbują zainstalować w systemie złośliwe oprogramowanie. W ciągu ostatniego półrocza większość z nich stanowiły nie witryny stworzone przez przestępców w celu dystrybuowania wirusów, lecz pozornie bezpieczne "legalne" witryny, które zostały skutecznie zaatakowane i osadzono w ich kodzie niebezpieczne komponenty. Z taką sytuacją mamy do czynienia po raz pierwszy w historii Internetu.

Taniej i skuteczniej

Przedstawiciele Websense tłumaczą, że wykorzystywanie do dystrybuowania złośliwego oprogramowania zhakowanych stron daje przestępcom szereg korzyści. Po pierwsze, nie muszą oni w żaden sposób zwabiać internauty na złośliwą stronę - "Wystarczy, że włamią się na odpowiednio popularną witrynę i w ten sposób zyskają możliwość infekowania tysięcy komputerów" - tłumaczy Dan Hubbard, wiceprezes Websense. Dodatkowe zalety takiego rozwiązania to fakt, że przestępcy nie muszą płacić za hosting i trudniej jest ich namierzyć. Co więcej - w ten sposób na ich atak narażeni są również użytkownicy oprogramowania ostrzegającego internautę przed odwiedzeniem niebezpiecznej witryny (zwykle bowiem strony, na które włamują się przestępcy, są przez takie aplikacje uważane za bezpieczne - oczywiście do czasu wykrycia włamania).

Autorzy złośliwego oprogramowania już dawno dostrzegli zalety tego modelu dystrybucji swoch "produktów" - dlatego też w ostatnich miesiącach mieliśmy wiele przypadków włamywania się na strony szacownych instytucji, firm czy organizacji i osadzania na nich niebezpiecznego kodu. Kilkanaście miesięcy temu tuż przed finałowymi rozgrywkami ligi NFL ktoś włamał się na stronę stadion Dolphin Stadium - przestępcy zdołali dzięki temu zarazić wirusami dziesiątki tysięcy komputerów internautów szukających na stronie informacji o meczu. W sierpniu 2007 r. włamano się z kolei na stronę największego indyjskiego Banku - Bank of India - i również umieszczono tam złośliwy kod (w toku śledztwa ustalono, że dokonali tego członkowie rosyjskiej grupy przestępczej RBN - Russian Business Network).

90 tys. stron na raz

Problem jest tym poważniejszy, że przestępcy z reguły szukają sposobów na jednorazowe zainfekowanie jak największej liczby komputerów - dlatego tylko w ostatnich tygodniach mieliśmy przypadki dwóch ataków, w których na raz zhakowano, odpowiednio, 90 000 i 10 000 stron (zwykle jest to możliwe dzięki włamaniu się do systemu firmy hostingowej).

Dan Hubbard mówi, że na większości takich stron przestępcy umieszczają proste exploity, wykorzystujące do zaatakowania komputera pojedyncze - i z reguły znane od dawna - luki w zabezpieczeniach przeglądarek internetowych. Niekiedy zdarza się jednak, że na stronach osadzane są również rozbudowane "wieloexploitowe" narzędzia hakerskie - np. Mpack oraz Neosploit. "Szacujemy, że takie narzędzia znajdują się na ok. 19% zhakowanych stron" - mówi przedstawiciel Websense.


TOP 200