Ищем разработчика, который без ума от JavaScript и клёвых анимаций
Рубрика развивается при поддержке HP logo

Исследователи обнаружили вирус, заражающий роутеры и добавляющий рекламные баннеры на внешние сайты Материал редакции

Исследователи из Ara Labs обнаружили схему, по которой вирус заражал роутеры и через код Google Analytics добавлял на чужие сайты рекламные баннеры. Об этом говорится в исследовании, опубликованном 25 марта.

Размещением рекламы (в том числе порно-баннеров) занималась российская рекламная сеть PopUnder. Скорее всего, описанные Ara Labs наблюдения непосредственно связаны с «патриотической» заглушкой «Яндекс.Браузера»: TJ выяснил, кто мог быть причастен к её появлению.

Как рассказали исследователи из Ara Labs, для атаки злоумышленники использовали уязвимости в старых роутерах, широко использующихся в домах и офисах. Как пояснили аналитики, в таком способе проникновения нет ничего нового, и о нём рассказывали ведущие фирмы по борьбе с киберпреступностью, однако из-за недостатка освещения темы люди продолжают использовать небезопасные устройства.

Суть атаки заключается в подмене DNS-адреса. Поскольку современные операционные системы используют по умолчанию тот адрес, который им отдаёт роутер, злоумышленники меняли его через уязвимость и благодаря этому могли по-другому отображать привычные сайты. Они не подменяли содержимое страниц целиком (это требовало бы огромного объёма работ), а внедряли свой код через скрипт статистики Google Analytics, который уже установлен на большинстве популярных ресурсов в интернете.

Когда жертва заходила на сайт с Google Analytics через сеть с заражённым роутером, скрипт статистики вставлял на страницу код JavaScript, в котором отображался рекламный баннер. Многие пользователи ничего не подозревали, потому что для посещаемых ими сайтов реклама была обычным делом.

По данным Ara Labs, встраивание баннеров тщательно маскировалось в коде, однако проверка показала, что все они использовали SSL-сертификаты, подписанные одним сайтом. Речь идёт о российской рекламной сети PopUnder, которая активно продвигает свои услуги в специализированных сообществах и на конференциях, но имеет клиентов по всему миру. На сайте PopUnder говорится, что в её рекламной сети находится более 1,2 миллиона ресурсов.

В отчёте Ara Labs не говорится, как именно вирус заражает роутеры и какие модели подвержены уязвимости. Специалисты рекомендуют обновлять прошивки старых устройств до максимально новой, однако некоторые из моделей не выпускали новых версий ПО долгие годы, поэтому требуют полной замены.

По всей видимости, в последнее время схема заражения роутеров и подмены DNS для последующего встраивания рекламы стала особенно актуальной среди российских специалистов по «чёрному» продвижению. Аналогичный способ использовался для демонстрации заглушки с требованием перейти с иностранных браузеров на отечественный «Яндекс.Браузер» или на UC Browser, о ситуации вокруг которой TJ писал ещё 21 марта.

Тогда речь шла о встраивании рекламы не только через код Google Analytics, но и через популярную в рунете «Яндекс.Метрику». Как рассказали TJ в «Яндексе», в данный момент компания переводит своих клиентов на скрипт статистики с использованием протокола https, в котором не наблюдается встраивания рекламы. Позднее компания собирается опубликовать результаты проведённой проверки.

Как выяснил технический директор «Комитета» Илья Чекальский, в случае с «Яндекс.Браузером» заглушка отображалась не везде, а только на списке определённых сайтов: например, на ozon.ru, ivi.ru, stoloto.ru и других. Затем зашедшего на них пользователя переадресовывало на системы партнёрского маркетинга вроде gdeslon.ru или через реферальную ссылку — за это злоумышленники, скорее всего, получали отчисления.

Кроме этого, на просматриваемый сайт добавлялся скрипт с адресом syndicationan.link/js — страница по этому адресу генерируется при помощи PHP-скрипта. Это значит, что злоумышленники могли получать разные результаты в зависимости от данных пользователя — например, его IP-адреса или браузера. Такой скрипт мог похищать его личную информацию, отслеживать перемещения и переадресовывать на другие страницы.

Злоумышленники, вставлявшие плашку «Яндекс.Браузера» или UC Browser, также использовали встроенный код статистики Liveinternet по сайту syndication.link, предположительно для отслеживания количества взломанных пользователей. Статистика доступна только по паролю, и гендиректор Liveinternet Герман Клименко отказался раскрывать TJ порядок подвергнувшихся опасности пользователей.

Как выяснил TJ, информация о лицах, на которые зарегистрированы домены syndication.link и syndicationan.link, находится в открытом доступе. Если второй домен ведёт на Зенину Елену, которая, судя по всему, занимается искусством и вряд ли имеет отношение к интернет-маркетингу, то в контактной информации syndication.link указана жительница Архангельска Екатерина Цвелева и электронная почта некоего 39-летнего Максима Максимова из Нижнего Новгорода.

Поиск по юзернейму Максимова и его электронной почте позволяет узнать, что тот интересуется темой заработка в интернете на сайте searchengines.ru и консультирует других по покупке трафика. Цвелева заявила TJ, что не знакома с Максимовым и никогда не теряла свой паспорт, а в информации о домене указаны неверные данные о её месте проживания.

В 2014 году специалисты по кибербезопасности из Team-Cymru уже публиковали исследование по заражению домашних и офисных роутеров, рассмотрев два случая: в конце 2013 года и в январе 2014-го. В первом случае большинство владельцев заражённых роутеров находились в России и Польше, во втором лидировали Индия, Италия и Вьетнам.

В январе 2014-го Team-Cymru смогла примерно обозначить масштаб заражения, зарегистрировав 300 тысяч уникальных IP, обращавшихся к DNS-серверам злоумышленников. Среди заражённых роутеров назывались модели марок D-Link, Micronet, Tenda, TP-Link, а также устройства на базе ПО Zyxel.

Пользователь предпочёл скрыть от вас своё описание.
{ "author_name": "Никита Лихачёв", "author_type": "self", "tags": ["\u044f\u043d\u0434\u0435\u043a\u0441_\u043c\u0435\u0442\u0440\u0438\u043a\u0430","\u044f\u043d\u0434\u0435\u043a\u0441","\u0445\u0430\u043a\u0435\u0440\u044b","\u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438","\u0440\u043e\u0443\u0442\u0435\u0440\u044b","\u0440\u043e\u0441\u0441\u0438\u0439\u0441\u043a\u0438\u0435_\u0445\u0430\u043a\u0435\u0440\u044b","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u043c\u0430\u043a\u0441\u0438\u043c_\u043c\u0430\u043a\u0441\u0438\u043c\u043e\u0432","\u043a\u0438\u0431\u0435\u0440\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c","\u0432\u0437\u043b\u043e\u043c_\u0440\u043e\u0443\u0442\u0435\u0440\u043e\u0432","popunder","google_analytics","dns"], "comments": 30, "likes": 24, "favorites": 1, "is_advertisement": false, "subsite_label": "tech", "id": 54507, "is_wide": true, "is_ugc": true, "date": "Thu, 26 Mar 2015 16:55:43 +0300", "is_special": false }
Создан для будущего Узнайте больше HP Neverstop Laser HP Neverstop Laser
Объявление на TJ
Комментарии

Киевский цвет

5

"на просматриваемую страницу добавлялся PHP-скрипт"
надо бы вычитать

Собственный браслет

2

Заразить роутеры макдональдс или московского метро — это бесценно.

Собственный браслет

2

Я давно уже на автомате у себя на любом компе прописываю DNS: 8.8.8.8 и 8.8.4.4

Технологии
дискуссии в сообществе доступны только владельцам клубного аккаунта
С клубным аккаунтом вы сможете
создавать записи и вести дискуссии в закрытых сообществах
наслаждаться нашим сайтом без рекламы
помочь проекту и почувствовать себя лучше
Купить за 75₽
Обсуждаемое
Новости
X5 Retail Group запустит новую сеть продуктовых магазинов — «жёсткие» дискаунтеры «Чижик»
Магазины будут отличаться небольшими площадями и низкими ценами.
Новости
Муфтий Чечни обвинил Макрона в разжигании межнациональной розни из-за акций памяти убитого под Парижем учителя
Он посчитал оскорбительным показ карикатур на правительственных зданиях во Франции.
Дизайн и архитектура
Опыт создания шрифта Advanced Font
В данной статье, я бы хотел поделиться своим дизайнерским опытом от создания шрифта по заказу, ну и опытом взаимодействия со столь редким заказчиком.
Популярное за три дня
Беларусь
«Отправьте их на улицу»: Лукашенко потребовал отчислить студентов, вышедших на протесты
И назвал действия протестующих «террористической угрозой».
Беларусь
Прямая трансляция: общенациональная забастовка в Беларуси
26 октября истек срок объявленного Светланой Тихановской властям Беларуси ультиматума. Утро началось с протестов рабочих на крупнейших белорусских предприятиях. Продолжение трансляции тут.
Беларусь
Прямая трансляция: общенациональная забастовка, протесты студентов и марш пенсионеров
Старая трансляция упёрлась в количество возможны блоков в статье, продолжаем тут. По просьбам комментаторов, теперь свежие записи будут в начале.

Комментарии

null