Вы находитесь на странице: 1из 4

Шокирующая атака на интернет: российские хакеры используют сразу две неизвестные

бреши!

"Лаборатория Касперского", сообщает о новой массовой эпидемии целой


комбинации вредоносных программ, сочетающейся с несанкционированным
проникновением в компьютерные системы. Эпидемия затрагивает веб-серверы под
управлением операционной системы IIS5 (Microsoft Internet Information Server 5) и, во
вторую очередь, пользовательские компьютеры, которые обращаются к пораженным
веб-серверам при помощи популярного браузера Internet Explorer.

При этом злоумышленники применяют нестандартный механизм заражения


пользовательских компьютеров. Во-первых, они взламывают веб-сервер, работающий
под управлением IIS5, и заражают его написанной на JavaScript троянской программой
Trojan.JS.Scob.a. На основании полученных данных аналитики "Лаборатории
Касперского" предполагают, что проникновение на IIS5-сервер осуществляется через
уже известную либо принципиально новую уязвимость.

Затем, при посещении какой-либо веб-страницы на зараженном веб-сервере с


использованием браузера Microsoft Internet Explorer, установленная на веб-сервере
троянская программа перехватывает управление и обращается к веб-сайту, на котором
находится специальный PHP-скрипт, использующий еще одну, неизвестную до
сегодняшнего дня, уязвимость, но уже в браузере Internet Explorer.

Наконец, за счет использования этой уязвимости, на пользовательский


компьютер устанавливается одна из версий программы-шпиона Backdoor.Padodor
(модификаций w, x, y, z), предоставляющей злоумышленникам возможность полного
контроля над зараженной машиной.

Результаты анализа кода программы-шпиона "Padodor" не оставляют сомнений в


определении авторов данной вредоносной акции. В тексте программы присутствует
"авторская строка" со словами "Coded by HangUp Team". Это дает основания
предполагать, что автором и инициатором данной акции является международно
известная команда вирусописателей и хакеров HangUp (веб-сайт rat.net.ru, сейчас
защищен паролем), также подозреваемая в создании ряда других вредоносных
программ. Например, обнаруженный недавно печально известный червь "Padobot"
(также известный как "Korgo"), который атакует компьютеры через уязвимость LSASS,
а для получения команд от злоумышленников использует каналы чата IRC.

Группа "HangUp Team" была создана тремя жителями Архангельска. В 2000 году
они были арестованы и приговорены к условным срокам заключения, за нарушение
закона о создании и распространении вредоносных программ. Однако, в настоящее
время команда "HangUp" вновь ведет активную деятельность и включает в себя
представителей компьютерного андерграунда со всего постсоветского пространства, и,
возможно, других стран мира. Группа также известна благодаря своим крепким связям
со спам-индустрией, охотно приобретающей у "HangUp Team" сети из зараженных
троянскими программами компьютеров, которые затем с помощью установки прокси-
серверов используются для рассылки спама.

"Не исключено, что в данном случае имеет смысл вести речь о "Zero-day
Exploit", т.е. о бреши, еще никому неизвестной, для которой еще не выпущен
соответствующий патч. Иными словами, возможно, что хакеры, обнаружив или
выкупив брешь у автора, незаметно заразили IIS-серверы по всему миру для
распространения программы-шпиона. Мы говорили о возможности появления такого
рода инцидентов еще несколько лет назад, и события этого дня подтверждают
печальную тенденцию деструктивной направленности действий компьютерного
андерграунда, который переходит к применению комбинированных атак, не
допускающих применения сопоставимых средств защиты", - сказал Евгений
Касперский, руководитель антивирусных исследований "Лаборатории Касперского".

«Лаборатория Касперского» рекомендует пользователям интернета временно


воздержаться от просмотра веб-страниц при помощи браузера Internet Explorer. По
имеющейся на данный момент информации, другие широко распространенные веб-
браузеры (Mozilla и Opera) не подвержены этой уязвимости.

Процедуры защиты от Trojan.JS.Scob.a и модификаций x, y, z программы-шпиона


Backdoor.Padodor, уже добавлены в базу данных Антивируса Касперского.

Скачать бесплатный браузер Mozilla можно здесь:


Šokeeriv internetirünne: Vene häkkerid kasutavad ründeks korraga kaht tundmatut
turvaauku!

Kaspersky Lab teatab uuest viiruseepideemiast, mis koosneb tervest reast


kahjurprogrammide kombinatsioonist, kaasa arvatud mittesanktsioneeritud tungimine
arvutisüsteemidesse. Epideemia hõlmab operatsioonisüsteemiga IIS5 (Microsoft Internet
Information Server 5) installeeritud veebiservereid ja arvuteid, mis pöörduvad veebisirvijat
Internet Explorer kasutades nakatunud veebiserveri poole.

Seejuures kasutavad kurjategijad arvutite nakatamiseks mittestandardset meetodit.


Kõigepealt murravad nad sisse Microsoft IIS5-ga installeeritud veebiserverisse ja nakatavad
selle JavaScript-is kirjutatud troojalase Trojan.JS.Scob.a-ga. Seni saadud andmete põhjal
oletavad Kaspersky Lab-i analüütikud, et Microsoft Internet Information Server 5-ga
installeeritud veebiserverisse sissetungimiseks kasutatakse kas juba tuntud või siis täiesti uut,
senitundmatut turvaauku.

Kui nüüd kasutaja pöördub oma arvutist veebisirvija Internet Explorer-i abil
nakatunud veebiserveri poole, võtab sellesse serverisse paigaldatud troojaprogramm
Trojan.JS.Scob.a juhtimise üle ja pöördub päringuga veebilehe poole, kus paikneb spetsiaalne
PHP skript, mis kasutab täiesti uut - senitundmatut - veebisirvijas Internet Explorer olevat
turvaauku.

Lõpuks, kasutades ülalnimetatud Internet Explorer-i turvaauku, paigaldatakse


ohverarvutisse tagaukseprogrammi Backdoor.Padodor (modifikatsioonid: w, x, y, z) üks
versioonidest, mis võimaldab paharettidel saavutada täieliku kontrolli ohverarvuti üle.

Tagaukseprogrammi Backdoor.Padodor koodi analüüsi tulemused lubavad üheselt


määratleda selle kahjurprogrammi autorid. Programmi tekstis sisaldub "Autori rida" sõnadega
"Coded by HangUp Team". See annab alust arvata, et selle aktsiooni autoriks ja algatajaks on
rahvusvaheliselt tuntud viirusekirjutajate ja häkkerite meeskond "HangUp Team" (veebileht
rat.net.ru, praegu kaitstud parooliga), keda on kahtlustatud ka terve rea teiste
kahjurprogrammide loomises. Näiteks hiljuti avastatud kurikuulus võrguuss "Padobot"
(tuntud ka "Korgo" nime all), mis ründab arvutit LSASS turvaaugu kaudu, ja pärast seda saab
nakatunud arvutit juhtida, saates käske läbi IRC kanalite.

Grupp "HangUp Team" on loodud kolme Arhangelski elaniku poolt. 2000. aastal nad
arreteeriti ja neile mõisteti tingimisi karistused kahjurprogrammide loomise ja levitamise
seaduse järgi. Sellele vaatamata tegutseb "HangUp Team" käesoleval ajal aktiivselt edasi ning
sinna kuuluvad paljud põrandaaluse arvutimaailma esindajad nii Nõukogude Liidu endistest
liiduvabariikidest ja võimalik, et ka teistest riikidest. Grupp "HangUp Team" on tuntud ka
tänu oma tugevatele sidemetele rämpspostitööstusega, mis omakorda võtab "HangUp Team"-i
grupilt meeleldi üle trooja programmidega nakatatud arvutivõrgud, mida siis pärast proxy
serverite paigaldamist kasutatakse rämpsposti laialisaatmiseks.

"Ei ole võimatu, et sellel juhul oleks mõttekas rääkida niinimetatud "Zero-day Exploit"
juhtumist ehk siis turvaaugust, mille olemasolu keegi ei tea ja mille parandamiseks pole välja
lastud ühtegi parandust. Teisisõnu, on võimalik, et häkkerid, olles avastanud turvaaugu (või
siis ostnud kelleltki selle kohta käiva informatsiooni), on märkamatult nakatanud enamiku
maailmas leiduvaist IIS5 servereist tagaukseprogrammi levitamiseks. Me rääkisime sellise
intsidendi ilmumise võimalikkusest juba mõned aastad tagasi ja praegused sündmused
kinnitavad kurba tendentsi, et põrandaaluse arvutimaailma tegevus on muutumas üha
hävituslikumaks, kusjuures rakendatakse kombineeritud rünnakuid, mille puhul ei saa
kasutada vastumeetmetena mõeldud seniseid kaitsevahendeid", ütles Kaspersky Lab-i
viirusetõrje uurimisgrupi juht Jevgeni Kasperski.

Kaspersky Lab soovitab interneti kasutajatel ajutiselt loobuda Internet Explorer-ist


veebilehtede vaatamisel. Praegustel andmetel ei ole teised laialt levinud veebisirvijad (näiteks
Opera ja Mozilla) selle turvaaugu poolt ohustatud.

Trojan.JS.Scob.a ja Backdoor.Padodor-i modifikatsioonide x, y, z vastased


kaitseprotseduurid on juba lisatud Kaspersky® Anti-Virus-e viirusetõrjebaasidesse.

Tasuta veebisirvija Mozilla saab alla laadida siit.