Руски нападатели ухапаха „чудовището”

Категория: Сигурност
Етикети: информационна сигурност , Интернет , web , риск , ИТ работа , вируси , NeoSploit атака
Наско Атанасов
22.11.2007

Monster е компания за търсене на работа

Monster.com (в превод чудовище) беше съборен от една инжекция iFrame. Атаката се приписва на Руската бизнес мрежа (RBN). Атаката засегна доста компании, представени на „булеварда” на Monster, включително Eddie Bauer, GMAC Mortgage, BestBuy, Toyota Financial и други.

„Булевардът” на компанията Monster позволява на посетителите да търсят обещаващи работодатели и работа по компании. Говорителката на Monster е направила изявление, че атаката е вкарала код в страниците, създаващ уязвимост, чрез която системите може да заредят вирус. Според нея “чудовището” веднага е изтрило кода и почистило засегнатите страници.

Exploit Prevention лабораториите са определили инцидента като NeoSploit атака. NeoSploit е зловредно средство, открито някъде из дебрите на Интернет. Когато за пръв път се появи през пролетта, специалистите отбелязаха, че то носи поне седем определени възможности за изпълнение, с които да инфектира даден персонален компютър. NeoSploit може грижливо да подбере подходящото средство според слабите места на една система.

Лабораторията не е открила още кое средство точно е използвано в настоящата атака, тъй като е било добре криптирано. Атаката използва зловреден HTML eтикет, наречен iFrame – това е HTML елемент, чрез който даден HTML документ може да бъде вложен в друг главен документ.

Не е ясно колко страници са били засегнати от атаката. Говорителката на Monster.com е казала, че зловредният код е създаден така, че да „наема” ботове в дадена спамерска бот мрежа. Тя още споделя, че вирусът се открива от повечето антивирусни продукти, които се използват и потребителите с Windows и осъвременени антивирусни програми не могат да бъдат засегнати.

Monster смятат още, че много малко посетители на сайта са били заразени, преди страниците да бъдат почистени, но компанията не дава информация как точно първоначално сайтът й е бил поразен. Според тях обаче атаката е проведена от криминална група, чиято цел са големи Web компании. Monster работи с полицията по разкриване на групата. Това, което досега е открито, е, че поне един от сайтовете, към които посетителите са били пренасочвани чрез iFrame атаката е свързан с Руската бизнес мрежа RBN, известна руска онлайн банда, която наскоро закри петербургския си IP адрес, като първоначално се премести към китайски IP, за да създаде магазин, а после се прикри другаде, за да избегне IP блокадите.