Hardware Upgrade Forum - View Single Post - [NEWS] Siti Compromessi: Ora Anche su Seeweb

c.m.g · 11-10-2007, 11:26

Marco Giuliani, malware analyst dell'azienda di sicurezza PrevX, ha pubblicato sul suo blog PC al Sicuro un interessante articolo che riporta alla luce il problema della compromissione dei siti web italiani. Si tratta di una disgraziata "moda del momento" in campo malware, quella di attaccare i siti web, compromettendoli e iniettando un javascript offuscato o un iframe che possa re-indirizzare i browser verso risorse nocive. Abbiamo già parlato ampiamente in news precedenti dell'attacco massiccio via Mpack che aveva colpito migliaia di siti web italiani a fine Giugno, "secondo modalità ancora sconosciute".

Marco scrive: "Come si è parlato già addietro, il 2007 è diventato di diritto l'anno delle compromissioni dei siti web da parte dei malware writer. Si è parlato di Hosting Solutions, si è parlato di Aruba, si è parlato di alcuni siti di rilevanza nazionale infettati da iframe nocivi. Continuando nelle indagini, anche il noto fornitore di connettività e hosting/housing Seeweb sembrerebbe essere stato preso di mira durante questa ondata di pirateria informatica. Un discreto numero di siti web ospitati su alcuni server della nota società italiana sono stati alterati, molti dei quali sembrerebbero inoltre essere stati modificati durante queste ultime settimane. Poco meno di 100 siti web, di cui circa 70 ultimi arrivati, contengono nel codice della propria homepage un iframe che reindirizza il browser dell'utente ignaro verso un terzo server contenente codice maligno".

Un nuovo popolare hoster italiano sembra quindi caduto vittima dei cybercriminali, ed a quanto pare gli attacchi sono stati condotti recentemente. Marco spiega: "L'infezione che ne deriva, in caso si utilizzi software non aggiornato, è il solito Rootkit.DialCall con sample aggiornati per evitare di essere individuati dai software antivirus. Il nuovo indirizzo IP utilizzato dai malware writer è 81.29.241.238, sempre appartenente allo stesso range degli indirizzi IP precedentemente utilizzati per la stessa infezione e facente capo al range generale 81.29.240.0/20 gestito da LLC GlobalWholesaleTrade … Sembrerebbe che gran parte dei server che ospitano i siti web compromessi siano basati su GNU/Linux Debian e web server Apache, sebbene alcuni siano ospitati anche su Microsoft IIS".

Come per gli attacchi precedenti ai siti italiani, non è chiaro come sia stato possibile per i malware writer inserire iframe all'insaputa degli amministratori di siti web. Si è parlato molto nei mesi scorsi di MPack, un potente kit utilizzato dai cybercriminali diffondere e controllare su vasta scala i loro attacchi. Tuttavia gli strumenti inclusi nel kit non eseguono fisicamente l'hack di un sito web ma si affidano, normalmente, ad una lista di credenziali rubate. Alla luce di tutto questo gli amministratori dei siti non devono solo eliminare il codice iniettato nelle loro pagine ma soprattutto modificare le credenziali di accesso amministrativo per proteggere i propri siti. L'ipotesi del coinvolgimento di un exploit (e relativa vulnerabilità), ancora non conosciuto, resta valida.

Marco offre anche un aggiornamento dell'ultim'ora al suo intervento: "A pochissime ore dalla pubblicazione della notizia sembrerebbe Seeweb abbia rimosso tutti gli iframe dalle pagine infette. Tuttavia, sembra che qualche script automatico sia installato in alcuni server poiché - se è vero che Seeweb ha filtrato e pulito i siti precedentemente compromessi - sono apparsi pochissime ore fa altri siti infetti sugli stessi server, differenti dai primi". Nuova allerta? O solo strascichi di una attacco ormai conosciuto su server ancora vulnerabli?

Fonte: Tweakness

11-10-2007, 11:26	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22111	[NEWS] Siti Compromessi: Ora Anche su Seeweb Marco Giuliani, malware analyst dell'azienda di sicurezza PrevX, ha pubblicato sul suo blog PC al Sicuro un interessante articolo che riporta alla luce il problema della compromissione dei siti web italiani. Si tratta di una disgraziata "moda del momento" in campo malware, quella di attaccare i siti web, compromettendoli e iniettando un javascript offuscato o un iframe che possa re-indirizzare i browser verso risorse nocive. Abbiamo già parlato ampiamente in news precedenti dell'attacco massiccio via Mpack che aveva colpito migliaia di siti web italiani a fine Giugno, "secondo modalità ancora sconosciute". Marco scrive: "Come si è parlato già addietro, il 2007 è diventato di diritto l'anno delle compromissioni dei siti web da parte dei malware writer. Si è parlato di Hosting Solutions, si è parlato di Aruba, si è parlato di alcuni siti di rilevanza nazionale infettati da iframe nocivi. Continuando nelle indagini, anche il noto fornitore di connettività e hosting/housing Seeweb sembrerebbe essere stato preso di mira durante questa ondata di pirateria informatica. Un discreto numero di siti web ospitati su alcuni server della nota società italiana sono stati alterati, molti dei quali sembrerebbero inoltre essere stati modificati durante queste ultime settimane. Poco meno di 100 siti web, di cui circa 70 ultimi arrivati, contengono nel codice della propria homepage un iframe che reindirizza il browser dell'utente ignaro verso un terzo server contenente codice maligno". Un nuovo popolare hoster italiano sembra quindi caduto vittima dei cybercriminali, ed a quanto pare gli attacchi sono stati condotti recentemente. Marco spiega: "L'infezione che ne deriva, in caso si utilizzi software non aggiornato, è il solito Rootkit.DialCall con sample aggiornati per evitare di essere individuati dai software antivirus. Il nuovo indirizzo IP utilizzato dai malware writer è 81.29.241.238, sempre appartenente allo stesso range degli indirizzi IP precedentemente utilizzati per la stessa infezione e facente capo al range generale 81.29.240.0/20 gestito da LLC GlobalWholesaleTrade … Sembrerebbe che gran parte dei server che ospitano i siti web compromessi siano basati su GNU/Linux Debian e web server Apache, sebbene alcuni siano ospitati anche su Microsoft IIS". Come per gli attacchi precedenti ai siti italiani, non è chiaro come sia stato possibile per i malware writer inserire iframe all'insaputa degli amministratori di siti web. Si è parlato molto nei mesi scorsi di MPack, un potente kit utilizzato dai cybercriminali diffondere e controllare su vasta scala i loro attacchi. Tuttavia gli strumenti inclusi nel kit non eseguono fisicamente l'hack di un sito web ma si affidano, normalmente, ad una lista di credenziali rubate. Alla luce di tutto questo gli amministratori dei siti non devono solo eliminare il codice iniettato nelle loro pagine ma soprattutto modificare le credenziali di accesso amministrativo per proteggere i propri siti. L'ipotesi del coinvolgimento di un exploit (e relativa vulnerabilità), ancora non conosciuto, resta valida. Marco offre anche un aggiornamento dell'ultim'ora al suo intervento: "A pochissime ore dalla pubblicazione della notizia sembrerebbe Seeweb abbia rimosso tutti gli iframe dalle pagine infette. Tuttavia, sembra che qualche script automatico sia installato in alcuni server poiché - se è vero che Seeweb ha filtrato e pulito i siti precedentemente compromessi - sono apparsi pochissime ore fa altri siti infetti sugli stessi server, differenti dai primi". Nuova allerta? O solo strascichi di una attacco ormai conosciuto su server ancora vulnerabli? Fonte: Tweakness