Online Tržište

Turska hakerska grupa Turkguvenligi uspela je preko vikenda da sa poigraju sa evidencijom Internet adresa, preusmeravajući web promet sa velikog broja sajtova koji pripadaju kompanijama uključujući Microsoft, UPS i Vodafona na različite sajtove pod njihovom kontrolom.

Prema nekim informacijama, promet sa 186 web sajtova preusmeren je na sajtove pod kontrolom "Turkguvenligi". Poruku na napadnutim sajtovima je glasila: "4. septembar. Mi Turkguvenligi proglašavamo ovaj dan kao svetski dan hakera…"

Svi napadnuti sajtovi registrovani kroz NetNames, koji je deo NBT grupe. NetNames obezbeđuje DNS (Domain Name Sistem) uslugu za sajtove, koja je sistem koji se koristi za prevođenje imena domena u IP adresu.

Turki hakeri su uspeli da hakuju NetName DNS servere kroz SQL Injection napad, koji uključuje ubacivanje komande u web formu kako bi se videlo da li baza podataka u pozadini odgovara. Ako ove komande nisu skenirane u cilju otkrivanja zlonamernog koda, napadač može dobiti pristup sistemu.

U slučaju NetNames, hakerska grupa Turkguvenligi je stavila “redelegation order“ u sistem kompanije i promenila adresu master DNS servera koji je služio podatke za web sajtove, navodi u saopštenju NetNames. Napad se dogodio u nedelju oko 9 časova.

Ostali sajtovi koji su bili predmet napada pripadaju listu The Telegraph, Coca-Cola, Interpol, Adobe, Dell, Microsoft, Pežo, Univerzitetu Harvard, F-Secure, BitDefender i ostalima.

Ako su hakeri uspeli da promene DNS podešavanja koja drži registar domena, onda su verovatno mogli da promene i druga podešavanja, kao što je onemogućavanje DNSSEC, ili jednostavno da promene DNS podešavanja kako bi pokazali na servere koji ne podržavaju DNSSEC.

Brzošireći ubačeni SQL napad razbija antivirus barijere i ugrožava milione sajtova, uz online prevaru bezazlenih žrtava. Vesti o ovome napadu objavljena je od strane Websense Security Labs. Websense Security Labs navodi da je njena Threatseeker Network identifikovala novu zlonamernu masovno kampanju pod nazivom LizaMoon.

Kako to radi

Prema njihovim navodima, LizaMoon masovno ubrizgavanje je SQL napad koji privlači korisnike na lažni sajt na kojem će biti žrtve napada. SQL napad počinje sa ubacivanjem linije u kod stranice.

Ova skripta koristi ranjivost web aplikacije u sajtovima (zastareli CMS i Blog sistemi) i vodi korisnike na LizaMoon lažni sajt.

Datoteka koja treba da uplaši korisnika instalirana je na sajtu, a zatim kada se korisnici pojave počinje proces koji tada vara korisnika tako da on poveruju da je računar zaražen virusima prikazujući lažno trojansko upozorenje. Zlonamerni fajl zatim prodaje softver korisniku nudeći da će izbrisati viruse. Pored novca potrošenog na lažni softver, u pozadini je još jedan napad koji kompromituje bezbednosti korisnikovog sistema.

Zaraženo četiri miliona sajtova

Broj web sajtova koji su ugroženi dopuštajući da im se u njihov kod instalira skripta sa linkom koji korisnike preusmerava na lažni Lizamooon.com sajt, u petak je iznosio čak 500.000, međutim CNNMoney navodi da je stvarni broj sajtova koji su se našli pod napadom sada čak nešto više od četiri miliona. Pogledaj kompletan post »