Атака на интернет: российские хакеры используют две неизвестные бреши
Лаборатория Касперского сообщает о новой массовой эпидемии целой комбинации вредоноcных программ, сочетающейся с несанкционированным проникновением в компьютерные системы. Эпидемия затрагивает веб-серверы под управлением операционной системы IIS5 (Microsoft Internet Information Server 5) и, во вторую очередь, пользовательские компьютеры, которые обращаются к пораженным веб-серверам при помощи популярного браузера Internet Explorer.
При этом злоумышленники применяют нестандартный механизм заражения пользовательских компьютеров. Во-первых, они взламывают веб-сервер, работающий под управлением IIS5, и заражают его написанной на JavaScript троянской программой Trojan.JS.Scob.a. На основании полученных данных аналитики "Лаборатории Касперского" предполагают, что проникновение на IIS5-сервер осуществляется через уже известную либо принципиально новую уязвимость.
Затем, при посещении какой-либо веб-страницы на зараженном веб-сервере с использованием браузера Microsoft Internet Explorer, установленная на веб-сервере троянская программа перехватывает управление и обращается к веб-сайту, на котором находится специальный PHP-скрипт, использующий еще одну, неизвестную до сегодняшнего дня, уязвимость, но уже в браузере Internet Explorer.
Наконец, за счет использования этой уязвимости, на пользовательский компьютер устанавливается одна из версий программы-шпиона Backdoor.Padodor (модификаций w, x, y, z), предоставляющей злоумышленникам возможность полного контроля над зараженной машиной.
Результаты анализа кода программы-шпиона "Padodor" не оставляют сомнений в определении авторов данной вредоносной акции. В тексте программы присутствует "авторская строка" со словами "Coded by HangUp Team". Это дает основания предполагать, что автором и инициатором данной акции является международно известная команда вирусописателей и хакеров HangUp (веб-сайт rat.net.ru, сейчас защищен паролем), также подозреваемая в создании ряда других вредоносных программ. Например, обнаруженный недавно печально известный червь "Padobot" (также известный как "Korgo"), который атакует компьютеры через уязвимость LSASS, а для получения команд от злоумышленников использует каналы чата IRC.
Группа "HangUp Team" была создана тремя жителями Архангельска. В 2000 году они были арестованы и приговорены к условным срокам заключения по ст. УК РФ 273, за нарушение закона о создании и распространении вредоносных программ. Однако, в настоящее время команда "HangUp" вновь ведет активную деятельность и включает в себя представителей компьютерного андерграунда со всего постсоветского пространства, и, возможно, других стран мира. Группа также известна благодаря своим крепким связям со спам-индустрией, охотно приобретающей у "HangUp Team" сети из зараженных троянскими программами компьютеров, которые затем с помощью установки прокси-серверов используются для рассылки спама.
"Не исключено, что в данном случае имеет смысл вести речь о "Zero-day Exploit", т.е. о бреши, еще никому неизвестной, для которой еще не выпущен соответствующий патч. Иными словами, возможно, что хакеры, обнаружив или выкупив брешь у автора, незаметно заразили IIS-серверы по всему миру для распространения программы-шпиона. Мы говорили о возможности появления такого рода инцидентов еще несколько лет назад, и события этого дня подтверждают печальную тенденцию деструктивной направленности действий компьютерного андерграунда, который переходит к применению комбинированных атак, не допускающих применения сопоставимых средств защиты", сказал Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского".
При этом злоумышленники применяют нестандартный механизм заражения пользовательских компьютеров. Во-первых, они взламывают веб-сервер, работающий под управлением IIS5, и заражают его написанной на JavaScript троянской программой Trojan.JS.Scob.a. На основании полученных данных аналитики "Лаборатории Касперского" предполагают, что проникновение на IIS5-сервер осуществляется через уже известную либо принципиально новую уязвимость.
Затем, при посещении какой-либо веб-страницы на зараженном веб-сервере с использованием браузера Microsoft Internet Explorer, установленная на веб-сервере троянская программа перехватывает управление и обращается к веб-сайту, на котором находится специальный PHP-скрипт, использующий еще одну, неизвестную до сегодняшнего дня, уязвимость, но уже в браузере Internet Explorer.
Наконец, за счет использования этой уязвимости, на пользовательский компьютер устанавливается одна из версий программы-шпиона Backdoor.Padodor (модификаций w, x, y, z), предоставляющей злоумышленникам возможность полного контроля над зараженной машиной.
Результаты анализа кода программы-шпиона "Padodor" не оставляют сомнений в определении авторов данной вредоносной акции. В тексте программы присутствует "авторская строка" со словами "Coded by HangUp Team". Это дает основания предполагать, что автором и инициатором данной акции является международно известная команда вирусописателей и хакеров HangUp (веб-сайт rat.net.ru, сейчас защищен паролем), также подозреваемая в создании ряда других вредоносных программ. Например, обнаруженный недавно печально известный червь "Padobot" (также известный как "Korgo"), который атакует компьютеры через уязвимость LSASS, а для получения команд от злоумышленников использует каналы чата IRC.
Группа "HangUp Team" была создана тремя жителями Архангельска. В 2000 году они были арестованы и приговорены к условным срокам заключения по ст. УК РФ 273, за нарушение закона о создании и распространении вредоносных программ. Однако, в настоящее время команда "HangUp" вновь ведет активную деятельность и включает в себя представителей компьютерного андерграунда со всего постсоветского пространства, и, возможно, других стран мира. Группа также известна благодаря своим крепким связям со спам-индустрией, охотно приобретающей у "HangUp Team" сети из зараженных троянскими программами компьютеров, которые затем с помощью установки прокси-серверов используются для рассылки спама.
"Не исключено, что в данном случае имеет смысл вести речь о "Zero-day Exploit", т.е. о бреши, еще никому неизвестной, для которой еще не выпущен соответствующий патч. Иными словами, возможно, что хакеры, обнаружив или выкупив брешь у автора, незаметно заразили IIS-серверы по всему миру для распространения программы-шпиона. Мы говорили о возможности появления такого рода инцидентов еще несколько лет назад, и события этого дня подтверждают печальную тенденцию деструктивной направленности действий компьютерного андерграунда, который переходит к применению комбинированных атак, не допускающих применения сопоставимых средств защиты", сказал Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского".
