Специалисты по безопасности из израильской компании Finjan обнаружили хакерский сервис, продающий FTP-пароли к 8.700 серверам, многие из которых принадлежат крупным компаниям из Fortune 100.
Данные пароли позволяют использовать взломанные сайты для распространения троянов, внедряя вредносный код через iframe. Именно таким образом были заражены в прошлом году сайты РБК и Утро.Ру, которые затем раздавали заразу своим российским читателям.
Бизнес на продаже паролей к взломанным сайтам существует давно, однако раньше мы не слышали о полностью автоматизированных сервисах для работы с базами паролей. Фактически, это первый яркий пример "software as a service" с дружественным интерфейсом для хакеров, который дает мгновенный доступ к чужим сайтам по выбору. Сервис продает доступы по разной цене, в зависимости от Google Page Rank, географического расположения и других характеристик сайтов. Здесь же предлагается "меню" из вредоносных кодов, которые могут быть тут же внедрены на чужие сайты.
Сервис найден на русском хакерском сайте, утверждает Finjan. Среди взломанных сайтов, предлагаемых в этом "мазагине", большинство американских (2,621), но следующими по популярности идут российские (1,247). Есть также австралийские (392) и азиатские (354). Остальные - в основном из Восточной Европы (Украина, Чехия), и лишь несколько десятков - из Германии и Великобритании.
Подозрительно, однако, что "исследователи" из Finjan не раскрывают полный список взломанных сайтов. Они лишь обещают подтвердить, находится ли сайт в списке, если владелец сайта обратится к ним с таким запросом. Это очень напоминает саморекламу - хотя Finjan утверждает, что дюжину сайтов "уже предупредили". Другой вариант: такой "магазин паролей" действительно может существовать, но сам он при этом может быть жульничеством (пароли продаются, но ненастоящие).
Впрочем, в целях профилактики можно просто чаще менять пароли FTP-доступа, а также проверять админские компьютеры на предмет троянов.
Источник: securitylab.ru.
|
