Исследователи обнаружили вирус, заражающий роутеры и добавляющий рекламные баннеры на внешние сайты

Исследователи из Ara Labs обнаружили схему, по которой вирус заражал роутеры и через код Google Analytics добавлял на чужие сайты рекламные баннеры. Об этом говорится в исследовании, опубликованном 25 марта.

Размещением рекламы (в том числе порно-баннеров) занималась российская рекламная сеть PopUnder. Скорее всего, описанные Ara Labs наблюдения непосредственно связаны с «патриотической» заглушкой «Яндекс.Браузера»: TJ выяснил, кто мог быть причастен к её появлению.

Как рассказали исследователи из Ara Labs, для атаки злоумышленники использовали уязвимости в старых роутерах, широко использующихся в домах и офисах. Как пояснили аналитики, в таком способе проникновения нет ничего нового, и о нём рассказывали ведущие фирмы по борьбе с киберпреступностью, однако из-за недостатка освещения темы люди продолжают использовать небезопасные устройства.

Суть атаки заключается в подмене DNS-адреса. Поскольку современные операционные системы используют по умолчанию тот адрес, который им отдаёт роутер, злоумышленники меняли его через уязвимость и благодаря этому могли по-другому отображать привычные сайты. Они не подменяли содержимое страниц целиком (это требовало бы огромного объёма работ), а внедряли свой код через скрипт статистики Google Analytics, который уже установлен на большинстве популярных ресурсов в интернете.

Когда жертва заходила на сайт с Google Analytics через сеть с заражённым роутером, скрипт статистики вставлял на страницу код JavaScript, в котором отображался рекламный баннер. Многие пользователи ничего не подозревали, потому что для посещаемых ими сайтов реклама была обычным делом.

По данным Ara Labs, встраивание баннеров тщательно маскировалось в коде, однако проверка показала, что все они использовали SSL-сертификаты, подписанные одним сайтом. Речь идёт о российской рекламной сети PopUnder, которая активно продвигает свои услуги в специализированных сообществах и на конференциях, но имеет клиентов по всему миру. На сайте PopUnder говорится, что в её рекламной сети находится более 1,2 миллиона ресурсов.

В отчёте Ara Labs не говорится, как именно вирус заражает роутеры и какие модели подвержены уязвимости. Специалисты рекомендуют обновлять прошивки старых устройств до максимально новой, однако некоторые из моделей не выпускали новых версий ПО долгие годы, поэтому требуют полной замены.

По всей видимости, в последнее время схема заражения роутеров и подмены DNS для последующего встраивания рекламы стала особенно актуальной среди российских специалистов по «чёрному» продвижению. Аналогичный способ использовался для демонстрации заглушки с требованием перейти с иностранных браузеров на отечественный «Яндекс.Браузер» или на UC Browser, о ситуации вокруг которой TJ писал ещё 21 марта.

Тогда речь шла о встраивании рекламы не только через код Google Analytics, но и через популярную в рунете «Яндекс.Метрику». Как рассказали TJ в «Яндексе», в данный момент компания переводит своих клиентов на скрипт статистики с использованием протокола https, в котором не наблюдается встраивания рекламы. Позднее компания собирается опубликовать результаты проведённой проверки.

Как выяснил технический директор «Комитета» Илья Чекальский, в случае с «Яндекс.Браузером» заглушка отображалась не везде, а только на списке определённых сайтов: например, на ozon.ru, ivi.ru, stoloto.ru и других. Затем зашедшего на них пользователя переадресовывало на системы партнёрского маркетинга вроде gdeslon.ru или через реферальную ссылку — за это злоумышленники, скорее всего, получали отчисления.

Кроме этого, на просматриваемый сайт добавлялся скрипт с адресом syndicationan.link/js — страница по этому адресу генерируется при помощи PHP-скрипта. Это значит, что злоумышленники могли получать разные результаты в зависимости от данных пользователя — например, его IP-адреса или браузера. Такой скрипт мог похищать его личную информацию, отслеживать перемещения и переадресовывать на другие страницы.

Злоумышленники, вставлявшие плашку «Яндекс.Браузера» или UC Browser, также использовали встроенный код статистики Liveinternet по сайту syndication.link, предположительно для отслеживания количества взломанных пользователей. Статистика доступна только по паролю, и гендиректор Liveinternet Герман Клименко отказался раскрывать TJ порядок подвергнувшихся опасности пользователей.

Как выяснил TJ, информация о лицах, на которые зарегистрированы домены syndication.link и syndicationan.link, находится в открытом доступе. Если второй домен ведёт на Зенину Елену, которая, судя по всему, занимается искусством и вряд ли имеет отношение к интернет-маркетингу, то в контактной информации syndication.link указана жительница Архангельска Екатерина Цвелева и электронная почта некоего 39-летнего Максима Максимова из Нижнего Новгорода.

Поиск по юзернейму Максимова и его электронной почте позволяет узнать, что тот интересуется темой заработка в интернете на сайте searchengines.ru и консультирует других по покупке трафика. Цвелева заявила TJ, что не знакома с Максимовым и никогда не теряла свой паспорт, а в информации о домене указаны неверные данные о её месте проживания.

В 2014 году специалисты по кибербезопасности из Team-Cymru уже публиковали исследование по заражению домашних и офисных роутеров, рассмотрев два случая: в конце 2013 года и в январе 2014-го. В первом случае большинство владельцев заражённых роутеров находились в России и Польше, во втором лидировали Индия, Италия и Вьетнам.

В январе 2014-го Team-Cymru смогла примерно обозначить масштаб заражения, зарегистрировав 300 тысяч уникальных IP, обращавшихся к DNS-серверам злоумышленников. Среди заражённых роутеров назывались модели марок D-Link, Micronet, Tenda, TP-Link, а также устройства на базе ПО Zyxel.