Исследователи обнаружили вирус, заражающий роутеры и добавляющий рекламные баннеры на внешние сайты Статьи редакции
Исследователи из Ara Labs обнаружили схему, по которой вирус заражал роутеры и через код Google Analytics добавлял на чужие сайты рекламные баннеры. Об этом говорится в исследовании, опубликованном 25 марта.
Размещением рекламы (в том числе порно-баннеров) занималась российская рекламная сеть PopUnder. Скорее всего, описанные Ara Labs наблюдения непосредственно связаны с «патриотической» заглушкой «Яндекс.Браузера»: TJ выяснил, кто мог быть причастен к её появлению.
Как рассказали исследователи из Ara Labs, для атаки злоумышленники использовали уязвимости в старых роутерах, широко использующихся в домах и офисах. Как пояснили аналитики, в таком способе проникновения нет ничего нового, и о нём рассказывали ведущие фирмы по борьбе с киберпреступностью, однако из-за недостатка освещения темы люди продолжают использовать небезопасные устройства.
Суть атаки заключается в подмене DNS-адреса. Поскольку современные операционные системы используют по умолчанию тот адрес, который им отдаёт роутер, злоумышленники меняли его через уязвимость и благодаря этому могли по-другому отображать привычные сайты. Они не подменяли содержимое страниц целиком (это требовало бы огромного объёма работ), а внедряли свой код через скрипт статистики Google Analytics, который уже установлен на большинстве популярных ресурсов в интернете.
Когда жертва заходила на сайт с Google Analytics через сеть с заражённым роутером, скрипт статистики вставлял на страницу код JavaScript, в котором отображался рекламный баннер. Многие пользователи ничего не подозревали, потому что для посещаемых ими сайтов реклама была обычным делом.
По данным Ara Labs, встраивание баннеров тщательно маскировалось в коде, однако проверка показала, что все они использовали SSL-сертификаты, подписанные одним сайтом. Речь идёт о российской рекламной сети PopUnder, которая активно продвигает свои услуги в специализированных сообществах и на конференциях, но имеет клиентов по всему миру. На сайте PopUnder говорится, что в её рекламной сети находится более 1,2 миллиона ресурсов.

В отчёте Ara Labs не говорится, как именно вирус заражает роутеры и какие модели подвержены уязвимости. Специалисты рекомендуют обновлять прошивки старых устройств до максимально новой, однако некоторые из моделей не выпускали новых версий ПО долгие годы, поэтому требуют полной замены.
По всей видимости, в последнее время схема заражения роутеров и подмены DNS для последующего встраивания рекламы стала особенно актуальной среди российских специалистов по «чёрному» продвижению. Аналогичный способ использовался для демонстрации заглушки с требованием перейти с иностранных браузеров на отечественный «Яндекс.Браузер» или на UC Browser, о ситуации вокруг которой TJ писал ещё 21 марта.
Тогда речь шла о встраивании рекламы не только через код Google Analytics, но и через популярную в рунете «Яндекс.Метрику». Как рассказали TJ в «Яндексе», в данный момент компания переводит своих клиентов на скрипт статистики с использованием протокола https, в котором не наблюдается встраивания рекламы. Позднее компания собирается опубликовать результаты проведённой проверки.
Как выяснил технический директор «Комитета» Илья Чекальский, в случае с «Яндекс.Браузером» заглушка отображалась не везде, а только на списке определённых сайтов: например, на ozon.ru, ivi.ru, stoloto.ru и других. Затем зашедшего на них пользователя переадресовывало на системы партнёрского маркетинга вроде gdeslon.ru или через реферальную ссылку — за это злоумышленники, скорее всего, получали отчисления.
Кроме этого, на просматриваемый сайт добавлялся скрипт с адресом syndicationan.link/js — страница по этому адресу генерируется при помощи PHP-скрипта. Это значит, что злоумышленники могли получать разные результаты в зависимости от данных пользователя — например, его IP-адреса или браузера. Такой скрипт мог похищать его личную информацию, отслеживать перемещения и переадресовывать на другие страницы.
Злоумышленники, вставлявшие плашку «Яндекс.Браузера» или UC Browser, также использовали встроенный код статистики Liveinternet по сайту syndication.link, предположительно для отслеживания количества взломанных пользователей. Статистика доступна только по паролю, и гендиректор Liveinternet Герман Клименко отказался раскрывать TJ порядок подвергнувшихся опасности пользователей.
Как выяснил TJ, информация о лицах, на которые зарегистрированы домены syndication.link и syndicationan.link, находится в открытом доступе. Если второй домен ведёт на Зенину Елену, которая, судя по всему, занимается искусством и вряд ли имеет отношение к интернет-маркетингу, то в контактной информации syndication.link указана жительница Архангельска Екатерина Цвелева и электронная почта некоего 39-летнего Максима Максимова из Нижнего Новгорода.
Поиск по юзернейму Максимова и его электронной почте позволяет узнать, что тот интересуется темой заработка в интернете на сайте searchengines.ru и консультирует других по покупке трафика. Цвелева заявила TJ, что не знакома с Максимовым и никогда не теряла свой паспорт, а в информации о домене указаны неверные данные о её месте проживания.
В 2014 году специалисты по кибербезопасности из Team-Cymru уже публиковали исследование по заражению домашних и офисных роутеров, рассмотрев два случая: в конце 2013 года и в январе 2014-го. В первом случае большинство владельцев заражённых роутеров находились в России и Польше, во втором лидировали Индия, Италия и Вьетнам.
В январе 2014-го Team-Cymru смогла примерно обозначить масштаб заражения, зарегистрировав 300 тысяч уникальных IP, обращавшихся к DNS-серверам злоумышленников. Среди заражённых роутеров назывались модели марок D-Link, Micronet, Tenda, TP-Link, а также устройства на базе ПО Zyxel.
#Новость #Яндекс #хакеры #уязвимости #российские_хакеры #роутеры #кибербезопасность #Яндекс_Метрика #DNS #взлом_роутеров #PopUnder #Максим_Максимов #Google_Analytics
Прошедший череп
А тут не так то, что PHP-скрипт нельзя добавить на страницу? Поясните плиз.
Далекий химик
Нельзя. Он исполняется на стороне сервера. Тут речь идет о внедрении постороннего JavaScript
Далекий химик
Но впредь буду пользоваться местным orphus (ctrl+enter), чтобы не захламлять комментарии занудством.
Тонкий Паша
"с адресом syndicationan.link/js" как бы намекает на JS. Добавить можно, но смысла такая "вставка" иметь не будет.
Подходящий браслет
Теоретически, чисто гипотетически, никто не помешает злоумышленникам, которые получили root-доступ к вашему роутеру, перенаправлять и 8.8.8.8/8.8.4.4 на свой DNS через iptables DNAT.
Рекомендую пользоваться DNSCrypt или VPN http://antizapret.prostovpn.org/ (шифрованное соединение до DNS he.net).
Воздушный Макс
Здравое решение, однако параноикам это не понравится, Гугл все же. Есть очень полезные OpenDNS.
Далекий химик
Когда вам форму платежную подменят таким образом, тоже будет всё равно? На booking.com например это вполне реализуемо.
Европейский Кирилл
ну если на странице формы оплаты не используется https, то такой сайт можно слать куда подальше
Далекий химик
Александр, вы действительно "шлёте подальше" amazon.com и booking.com ? Если вы так уверены в себе, то может сыграем в увлекательную игру "пропиши в качестве DNS мой сервер на неделю и попробуй не проворонить критичных данных"?
Проверим на практике как вам удается "слать куда подальше такие сайты".
Прошедший череп
Уважаемый, давайте вы уже расскажете, кем конкретно вы работаете в «Яндексе», чтобы нам всем с вами было проще общаться.
Далекий химик
Да, но у них еще есть небезопасная версия, на которую легко попасть по ссылке. И на небезопасной версии будет платежная форма. Она-то тоже на https ведет, но вот её цель можно подменить. То есть, безопасным относительно обсуждаемого аспекта можно считать только сайт со Strict Transport Security - который не позволяет пользоваться небезопасной версией.
Смешанный Женя
Вы не поверите, но я пока подписку выигрываю раз 3й или 4й.
*тьфу-тьфу, дабы не сглазить.
Смешанный Женя
мне так все равно, что я кроме TJ, Twitter, Youtube и пару игры ничего не запускаю на компе.
Рекламная сеть Popunder.ru работает с 2007 года, имеет десятки тысяч вебмастеров-партнёров и сотрудничает с более 500 тысяч сайтов.
С такими объёмами рекламных мест система Popunder.ru не заинтересована в каких-либо противоправных размещениях кодов, а тем более — вирусных.
Мы всячески сотрудничаем с антивирусами, выполняем их рекомендации и оперативно реагируем на различные абузы, которые приходят на почтовые адреса сети.
Сеть Popunder.ru не имеет никакого отношения к заражению роутеров и модификациям кода Google Analytics.
В данный момент предполагаемый нарушитель обнаружен и заблокирован, однако нам требуются уточнения со стороны Ara Labs, с которыми мы уже инициировали диалог.
По всем подобным вопросам Вы всегда можете написать нам, используя контактные данные на сайте сети. Заранее благодарим за сотрудничество в поиске и пресечении нарушений.
Рекламная сеть
Popunder.ru