האקרים עשו שימוש באתר של חברת האבטחה טרנד-מיקרו על מנת להפיץ סוס טרויא

[RSS]

האקרים עשו שימוש באתר של חברת האבטחה טרנד-מיקרו על מנת להפיץ סוס טרויאני


גולשים שנכנסו לאנציקלופדיית התוכנות הזדוניות המקוונת של החברה היפנית הופנו בחשאי לאתרים אחרים, שם הודבקו בסוגים שונים של וירוסים
16.03.08 | 17:29 IDG
Security

ספקית פתרונות האנטי-וירוס טרנד-מיקרו (Trend Micro) אישרה ביום חמישי שחלקים מסוימים של אתר האינטרנט שלה נפרצו בתחילת השבוע שעבר, אך התחמקה מלענות לשאלה האם הדפים הנגועים שימשו להפצת תוכנות זדוניות.

"אני לא יכול לאשר או להכחיש את הפרטים הללו", אמר ביום חמישי אחה"צ דובר חברת האבטחה היפנית, מייק סוויני. "חלק מהדפים אכן נפרצו, אבל הסרנו אותם מהאתר ונקטנו בפעולות מתקנות כבר לפני כמה שעות". כאשר נתבקש לספק פרטים נוספים הסכים סוויני לומר אך ורק שהדברים נמצאים עדיין בבדיקה.

אולם דיווחים שהגיעו מיפן, כמו גם פרסום בבלוג של חברת האבטחה המתחרה סופוס (Sophos), בהחלט סיפקו פרטים נוספים. המהדורה בשפה האנגלית של Yomiuri Shimbun למשל, אחד העיתונים הגדולים ביותר ביפן, דיווח שהאתר של טרנד-מיקרו נפרץ ביום ראשון, ה-9 למארס, בסביבות השעה 9 בערב שעון טוקיו.

"כאשר גולשים נכנסו לכל אחד מהדפים הפרוצים, הם הופנו מבלי שהיו מודעים לכך לאתרים אחרים, וסוג כלשהו של וירוס הותקן על המחשבים שלהם. אותו וירוס גרם מאוחר יותר להורדת סדרה ארוכה של תוכנות זדוניות נוספות", כך לפי העיתון היפני.

חברת האבטחה הבריטית סופוס הוסיפה ביום חמישי גם היא מידע משלה. לדברי גרהאם קלולי, יועץ אבטחה בכיר בחברה, המתקפה על האתר של טרנד-מיקרו התבססה על טכניקה שנקראת SQL injection (שיטה המנצלת פרצות אבטחה הקשורות במסד הנתונים על מנת "להזריק" קוד לנתוני שאילתות SQL).

קלולי גם הצביע על התראה אותה פרסמה טרנד-מיקרו עצמה באתר האינטרנט שלה בשפה היפנית, התראה שמזהה את התוכנה הזדונית כ-JS_DLOADER.TZE. על פי ההתראה, משתמשים עלולים היו להידבק בווירוס על ידי כניסה לאחד מ-11 דפים נגועים בגרסה היפנית של האתר או לאחד מ-20 דפים בשפה האנגלית. כל הדפים הללו היו חלק מאנציקלופדיית התוכנות הזדוניות של טרנד-מיקרו, שהיא למעשה מסד נתונים ענק המכיל מידע על וירוסים, סוסים טרויאניים וסוגים אחרים של תוכנות זדוניות.

למרות שטרנד-מיקרו פרסמה את ההתראה בשפה היפנית בערב יום חמישי, שום התראה מקבילה בשפה האנגלית לא הופיעה עדיין.

חוקרים של חברת האבטחה מקאפי מעריכים שהפריצה לאתר של טרנד-מיקרו הייתה חלק ממאמץ רחב יותר שגרם להדבקתם של כ-20,000 אתרים בתוך מספר ימים, כל זאת תוך כדי שימוש בטכניקות של הזרקת קוד. לדברי החוקרים, המתקפות, שממשיכות להשתולל גם היום, דומות לאלה שתקפו את אתרי האינטרנט של קבוצת ה-NFL מיאמי דולפינס מספר ימים לפני סופרבול 2007.

המתקפה המתוארת על ידי מקאפי, ושהייתה זו שככל הנראה פגעה באתר של טרנד-מיקרו, איננה המתקפה רחבת ההיקף היחידה המשתוללת כרגע באינטרנט. קמפיין נוסף שהחל לפני כשבוע מתבסס על החדרת קוד זדוני למנגנוני cache של מספר מנועי חיפוש, והעברתם של הגולשים לאתרים המכילים תוכנות זדוניות. מספר הדפים שהודבקו במסגרת המתקפה הגיע לכ-401,000, כך לטענת דאנצ'ו דאנצ'ב, החוקר הבולגרי שהיה הראשון לדווח על המתקפה.