Исследователи обнаружили вирус, заражающий роутеры и добавляющий рекламные баннеры на внешние сайты Статьи редакции

Исследователи из Ara Labs обнаружили схему, по которой вирус заражал роутеры и через код Google Analytics добавлял на чужие сайты рекламные баннеры. Об этом говорится в исследовании, опубликованном 25 марта.

Размещением рекламы (в том числе порно-баннеров) занималась российская рекламная сеть PopUnder. Скорее всего, описанные Ara Labs наблюдения непосредственно связаны с «патриотической» заглушкой «Яндекс.Браузера»: TJ выяснил, кто мог быть причастен к её появлению.

Как рассказали исследователи из Ara Labs, для атаки злоумышленники использовали уязвимости в старых роутерах, широко использующихся в домах и офисах. Как пояснили аналитики, в таком способе проникновения нет ничего нового, и о нём рассказывали ведущие фирмы по борьбе с киберпреступностью, однако из-за недостатка освещения темы люди продолжают использовать небезопасные устройства.

Суть атаки заключается в подмене DNS-адреса. Поскольку современные операционные системы используют по умолчанию тот адрес, который им отдаёт роутер, злоумышленники меняли его через уязвимость и благодаря этому могли по-другому отображать привычные сайты. Они не подменяли содержимое страниц целиком (это требовало бы огромного объёма работ), а внедряли свой код через скрипт статистики Google Analytics, который уже установлен на большинстве популярных ресурсов в интернете.

Когда жертва заходила на сайт с Google Analytics через сеть с заражённым роутером, скрипт статистики вставлял на страницу код JavaScript, в котором отображался рекламный баннер. Многие пользователи ничего не подозревали, потому что для посещаемых ими сайтов реклама была обычным делом.

По данным Ara Labs, встраивание баннеров тщательно маскировалось в коде, однако проверка показала, что все они использовали SSL-сертификаты, подписанные одним сайтом. Речь идёт о российской рекламной сети PopUnder, которая активно продвигает свои услуги в специализированных сообществах и на конференциях, но имеет клиентов по всему миру. На сайте PopUnder говорится, что в её рекламной сети находится более 1,2 миллиона ресурсов.

В отчёте Ara Labs не говорится, как именно вирус заражает роутеры и какие модели подвержены уязвимости. Специалисты рекомендуют обновлять прошивки старых устройств до максимально новой, однако некоторые из моделей не выпускали новых версий ПО долгие годы, поэтому требуют полной замены.

По всей видимости, в последнее время схема заражения роутеров и подмены DNS для последующего встраивания рекламы стала особенно актуальной среди российских специалистов по «чёрному» продвижению. Аналогичный способ использовался для демонстрации заглушки с требованием перейти с иностранных браузеров на отечественный «Яндекс.Браузер» или на UC Browser, о ситуации вокруг которой TJ писал ещё 21 марта.

Тогда речь шла о встраивании рекламы не только через код Google Analytics, но и через популярную в рунете «Яндекс.Метрику». Как рассказали TJ в «Яндексе», в данный момент компания переводит своих клиентов на скрипт статистики с использованием протокола https, в котором не наблюдается встраивания рекламы. Позднее компания собирается опубликовать результаты проведённой проверки.

Как выяснил технический директор «Комитета» Илья Чекальский, в случае с «Яндекс.Браузером» заглушка отображалась не везде, а только на списке определённых сайтов: например, на ozon.ru, ivi.ru, stoloto.ru и других. Затем зашедшего на них пользователя переадресовывало на системы партнёрского маркетинга вроде gdeslon.ru или через реферальную ссылку — за это злоумышленники, скорее всего, получали отчисления.

Кроме этого, на просматриваемый сайт добавлялся скрипт с адресом syndicationan.link/js — страница по этому адресу генерируется при помощи PHP-скрипта. Это значит, что злоумышленники могли получать разные результаты в зависимости от данных пользователя — например, его IP-адреса или браузера. Такой скрипт мог похищать его личную информацию, отслеживать перемещения и переадресовывать на другие страницы.

Злоумышленники, вставлявшие плашку «Яндекс.Браузера» или UC Browser, также использовали встроенный код статистики Liveinternet по сайту syndication.link, предположительно для отслеживания количества взломанных пользователей. Статистика доступна только по паролю, и гендиректор Liveinternet Герман Клименко отказался раскрывать TJ порядок подвергнувшихся опасности пользователей.

Как выяснил TJ, информация о лицах, на которые зарегистрированы домены syndication.link и syndicationan.link, находится в открытом доступе. Если второй домен ведёт на Зенину Елену, которая, судя по всему, занимается искусством и вряд ли имеет отношение к интернет-маркетингу, то в контактной информации syndication.link указана жительница Архангельска Екатерина Цвелева и электронная почта некоего 39-летнего Максима Максимова из Нижнего Новгорода.

Поиск по юзернейму Максимова и его электронной почте позволяет узнать, что тот интересуется темой заработка в интернете на сайте searchengines.ru и консультирует других по покупке трафика. Цвелева заявила TJ, что не знакома с Максимовым и никогда не теряла свой паспорт, а в информации о домене указаны неверные данные о её месте проживания.

В 2014 году специалисты по кибербезопасности из Team-Cymru уже публиковали исследование по заражению домашних и офисных роутеров, рассмотрев два случая: в конце 2013 года и в январе 2014-го. В первом случае большинство владельцев заражённых роутеров находились в России и Польше, во втором лидировали Индия, Италия и Вьетнам.

В январе 2014-го Team-Cymru смогла примерно обозначить масштаб заражения, зарегистрировав 300 тысяч уникальных IP, обращавшихся к DNS-серверам злоумышленников. Среди заражённых роутеров назывались модели марок D-Link, Micronet, Tenda, TP-Link, а также устройства на базе ПО Zyxel.

{ "author_name": "Никита Лихачёв", "author_type": "self", "tags": ["\u044f\u043d\u0434\u0435\u043a\u0441_\u043c\u0435\u0442\u0440\u0438\u043a\u0430","\u044f\u043d\u0434\u0435\u043a\u0441","\u0445\u0430\u043a\u0435\u0440\u044b","\u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438","\u0440\u043e\u0443\u0442\u0435\u0440\u044b","\u0440\u043e\u0441\u0441\u0438\u0439\u0441\u043a\u0438\u0435_\u0445\u0430\u043a\u0435\u0440\u044b","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u043c\u0430\u043a\u0441\u0438\u043c_\u043c\u0430\u043a\u0441\u0438\u043c\u043e\u0432","\u043a\u0438\u0431\u0435\u0440\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c","\u0432\u0437\u043b\u043e\u043c_\u0440\u043e\u0443\u0442\u0435\u0440\u043e\u0432","popunder","google_analytics","dns"], "comments": 30, "likes": 24, "favorites": 1, "is_advertisement": false, "subsite_label": "tech", "id": 54507, "is_wide": true, "is_ugc": true, "date": "Thu, 26 Mar 2015 16:55:43 +0300", "is_special": false }
0
30 комментариев
Популярные
По порядку
Написать комментарий...

Далекий химик

5

"на просматриваемую страницу добавлялся PHP-скрипт"
надо бы вычитать

Ответить

Прошедший череп

Anna
–4

А тут не так то, что PHP-скрипт нельзя добавить на страницу? Поясните плиз.

Ответить

Далекий химик

Никита
14

Нельзя. Он исполняется на стороне сервера. Тут речь идет о внедрении постороннего JavaScript

Ответить

Далекий химик

Anna
0

Но впредь буду пользоваться местным orphus (ctrl+enter), чтобы не захламлять комментарии занудством.

Ответить

Тонкий Паша

Никита
2

"с адресом syndicationan.link/js"; как бы намекает на JS. Добавить можно, но смысла такая "вставка" иметь не будет.

Ответить

Радостный нос

it-trend
0

а я как раз хотел позанудствовать

Ответить

Тонкий Паша

2

Заразить роутеры макдональдс или московского метро — это бесценно.

Ответить

Спортивный Даниль

it-trend
16

Они уже заражены рекламой с Собяниным.

Ответить

Тонкий Паша

Иван
1

Как хорошо, что я ото всех этих роутеров практически равноудалён.

Ответить

Радостный нос

it-trend
3

они кстати и так свою рекламу встраивают (:

Ответить

Христианский Мурод

it-trend
1

В Московском метро достаточно свежие Циски, заражать устанут

Ответить

Тонкий Паша

2

Я давно уже на автомате у себя на любом компе прописываю DNS: 8.8.8.8 и 8.8.4.4

Ответить

Подходящий браслет

it-trend
3

Теоретически, чисто гипотетически, никто не помешает злоумышленникам, которые получили root-доступ к вашему роутеру, перенаправлять и 8.8.8.8/8.8.4.4 на свой DNS через iptables DNAT.

Рекомендую пользоваться DNSCrypt или VPN http://antizapret.prostovpn.org/ (шифрованное соединение до DNS he.net).

Ответить

Воздушный Макс

it-trend
0

Здравое решение, однако параноикам это не понравится, Гугл все же. Есть очень полезные OpenDNS.

Ответить

Европейский Кирилл

0

мне та все равно, на большинстве сайтов все равно включен adblock, но на всякий случай проверил DNS

Ответить

Далекий химик

Alexander
4

Когда вам форму платежную подменят таким образом, тоже будет всё равно? На booking.com например это вполне реализуемо.

Ответить

Европейский Кирилл

Anna
5

ну если на странице формы оплаты не используется https, то такой сайт можно слать куда подальше

Ответить

Далекий химик

Alexand…
3

Александр, вы действительно "шлёте подальше" amazon.com и booking.com ? Если вы так уверены в себе, то может сыграем в увлекательную игру "пропиши в качестве DNS мой сервер на неделю и попробуй не проворонить критичных данных"?
Проверим на практике как вам удается "слать куда подальше такие сайты".

Ответить

Прошедший череп

Anna
7

Уважаемый, давайте вы уже расскажете, кем конкретно вы работаете в «Яндексе», чтобы нам всем с вами было проще общаться.

Ответить

Европейский

Anna
3

зачем мне их слать, у них используется безопасное соединение

Ответить

Далекий химик

Alexand…
3

Да, но у них еще есть небезопасная версия, на которую легко попасть по ссылке. И на небезопасной версии будет платежная форма. Она-то тоже на https ведет, но вот её цель можно подменить. То есть, безопасным относительно обсуждаемого аспекта можно считать только сайт со Strict Transport Security - который не позволяет пользоваться небезопасной версией.

Ответить

Смешанный Женя

Anna
1

Вы не поверите, но я пока подписку выигрываю раз 3й или 4й.

*тьфу-тьфу, дабы не сглазить.

Ответить

Смешанный Женя

Alexander
1

мне так все равно, что я кроме TJ, Twitter, Youtube и пару игры ничего не запускаю на компе.

Ответить

Глупый Женя

1

На старые роутеры можно попробовать dd-wrt накатить

Ответить

Радостный нос

Igor
1

увы она дырявая, по крайней мере моя версия годичной давности, в сообщество уже отправил репорт

Ответить

Печатный лолипоп

Igor
0

На какой-нибудь DIR-300 не накатишь

Ответить

Кремлевский кавалер

0

Блиииин, так вот что это было! А то приходили клиенты и жаловались на вирусы, наши ребята всё чистили, но клиенты всё равно жаловались.

Ответить

Страшный рубин

0

Я три недели назад чуть макось всю не снес в попытке найти троян, пока не подключился к роутеру с айфона и увидел ту же рекламу и те же глюки.

Ответить

Умный Орзэмэс

0

Рекламная сеть Popunder.ru работает с 2007 года, имеет десятки тысяч вебмастеров-партнёров и сотрудничает с более 500 тысяч сайтов.
С такими объёмами рекламных мест система Popunder.ru не заинтересована в каких-либо противоправных размещениях кодов, а тем более — вирусных.

Мы всячески сотрудничаем с антивирусами, выполняем их рекомендации и оперативно реагируем на различные абузы, которые приходят на почтовые адреса сети.

Сеть Popunder.ru не имеет никакого отношения к заражению роутеров и модификациям кода Google Analytics.

В данный момент предполагаемый нарушитель обнаружен и заблокирован, однако нам требуются уточнения со стороны Ara Labs, с которыми мы уже инициировали диалог.

По всем подобным вопросам Вы всегда можете написать нам, используя контактные данные на сайте сети. Заранее благодарим за сотрудничество в поиске и пресечении нарушений.

Рекламная сеть
Popunder.ru

Ответить

Полицейский парфюмер

0

Комментарий удален по просьбе пользователя

Ответить
Обсуждаемое
Наука
Зонд NASA для изучения Солнца сделал снимок Венеры, на который не рассчитывали учёные
На нём видна поверхность планеты, которую не запечатлеть в видимом спектре
Новости
«Вам очень хочется быть троллем, но вы маменькин сынок»: Юлия Навальная отказалась принимать извинения Лебедева
Назвала его трусом и обвинила во лжи в собственных извинениях.
Новости
Microsoft запустила программу от выгорания на удалёнке — сотрудникам дадут по 1200 долларов на обучение, спорт и хобби
Программа будет работать как минимум в ближайшие два года.
Популярное за три дня
Технологии
Нейросеть Deep Nostalgia «оживляет» фотографии. Технология добавляет моргание, улыбку, движения глаз и головы
Пользователь TJ протестировал сервис и делится впечатлениями.
Новости
На ТНТ показали пародию на Владимира Соловьёва и Дмитрия Киселева, а потом удалили скетч на YouTube и в сервисе Premier
Создатели утверждают, что в шоу «Однажды в России» нет цензуры.
Twitter

Комментарии

null