Kilka powiązanych grup przestępczych zdobyło i wykorzystało dostęp administracyjny do stron www w celu zarażania odwiedzających. Odkrycie serwera przechowującego dane przestępców ujawnił Ian Amit – dyrektor Badań nad Bezpieczeństwem z Aladdin Knowledge Systems.
Uzyskali oni dostęp do ponad 200 tysięcy stron, z czego 80 tysięcy testowało aktualność zabezpieczeń i aktualizacji Windows gości próbując zarazić ich koniem trojańskim przy użyciu zniesławionego narzędzia neospolit. Wśród zdobytych dostępów było około 60% europejskich ale również strona poczty amerykańskiej, firmy z listy 500 największych w USA, uniwersytety i producent broni.
Badacze nie wiedzą w jaki sposób uzyskano loginy i hasła administratorów tych stron.Były one jednak tylko środkiem do celu, którym była modyfikacja witryn w celu zarażenia złośliwym kodem.Proces był w znacznym stopniu zautomatyzowany. Adresy zarażonych stron nie zostały ujawnione,a przedstawiciele władz, organizacje typu Centrum Koordynacji CERT – kontaktują się z administratorami tych stron, informując ich o włamaniu konieczności zabezpieczenia witryn.
Ian Amit jest sceptyczny jeżeli chodzi o ujęcie przestępców.Jednak liczy,że poznanie serwera na którym działało oprogramowanie jako usługa zbierająca i weryfikująca dane uzyskane przez przestępców o dostępie do witryn pozwoli lepiej zrozumieć strukturę organizacji przestępczej i jest krokiem w stronę innego podejścia, które umożliwi badaczom zabezpieczeń i przedstawicielom prawa pozostać w wyścigu przed twórcami złośliwego oprogramowania. Bo jak mówi Amit “ścigamy błędy od dekad”.
Zachęcam poszukanie dalszych aktualnych informacji na temat neospolita i modelu e-przestępczości w mowie otwierającej konferencje Blue Hat w Redmont (15,16,17 października). Którą wygłosi Ian Amit.