Avevamo già parlato lo scorso mese di un’intrusione avvenuta nei sistemi Hosting Solutions, intrusione che aveva permesso a degli attacker di modificare le home page di svariati siti web includendo un IFRAME che permettesse il redirect degli utenti verso siti web contenenti malware.

Hosting Solutions aveva comunicato di aver scoperto la falla e di averla sistemata, sebbene giorni dopo questa dichiarazione un utente ci aveva informato che i suoi siti hostati su Hosting Solutions erano stati di nuovo modificati.

A giorni di distanza il team è tornato a colpire, questa volta con un altro grande hoster italiano, Aruba.

Sembrerebbe, infatti, che diversi siti web hostati su differenti server del noto provider italiano siano stati modificati utilizzando la stessa tecnica dell’IFRAME. È lecito, dunque, sospettare nuovamente di un’intrusione nei sistemi di Aruba, così come è successo nei sistemi di Hosting Solutions.

Gli autori di questi attacchi sembra utilizzino, come comunicato da Symantec che sta indagando anch’essa ora sul caso, un kit già pronto per sferrare attacchi di malware denominato MPack e venduto in Russia.

Si raccomanda al momento di bloccare i seguenti indirizzi IP, oltre a quelli che avevo già comunicato nell’articolo pubblicato riguardo l’intrusione nel sito web di Roberto Vecchioni:

58.65.239.180 (già inserito nella pagina sopra linkata)
64.38.33.13
64.62.137.149
194.146.207.129
194.146.207.18

*** UPDATE ***

Sono migliaia i siti web compromessi su diversi server Aruba, mentre continuano ad essere presenti siti web infetti hostati su Hosting Solutions.

Il kit MPack utilizzato non è ben chiaro se sia la versione 0.86 (come indicato nel pannello delle statistiche) o l’ultima versione 0.90 come indicato nel readme del pacchetto (rilasciata il 27 Maggio 2007).

Come già indicato, il paese che più sta fruttando è l’Italia, con un’efficienza attuale del 28%. Una volta che uno degli exploit eseguiti dal kit caricato sul server riesce a funzionare, viene loggato l’IP e la nazione di provenienza, a scopo di statistica e per bloccare ulteriori infezioni a danno dello stesso IP.

Dopo ciò, viene scaricato un Trojan.Downloader che si occupa – iniettandosi in svchost.exe – di scaricare ulteriore malware.

Attenzione dunque, al momento molti server di Aruba sembra siano stati violati così come più di un mese fa, su queste stesse pagine, avevamo avvertito di una stessa violazione avvenuta ai server di Hosting Solutions.

Ulteriori aggiornamenti nei prossimi giorni.

*** UPDATE ***

Sta aumentando l’elenco dei siti web infetti, la maggior parte di questi ospitati su Aruba. Ora il server centrale riporta quasi 10.000 siti web infetti (referer), sebbene fortunatamente l’efficacia dell’attacco stia diminuendo grazie al fatto che le società di antivirus e antimalware (Prevx 2.0 incluso, ovviamente) stanno prendendo provvedimenti per il riconoscimento del trojan. Di fatto al momento i tre antivirus free riconoscono il trojan, cosí come Kaspersky, Nod32, Symantec dovrebbe riconoscere l’iframe, Prevx 2.0 (non basarsi su VirusTotal, l’engine che é sul servizio web non é aggiornato e sta per essere implementata la nuova versione).

Rimane grave la situazione su Aruba. Si consiglia al momento di cambiare le password di accesso al proprio sito web e di contattare l’hoster immediatamente.

*** UPDATE *** (19 Giugno 2007)

Sembra che Aruba stia gestendo la situazione, eliminando gli iframe dai siti web infetti. Sarebbe interessante conoscere come sia potuto accadere un attacco del genere, ma dubito che sia possibile venirlo a sapere ufficialmente.

Dopo Hosting Solutions, dunque, Aruba. Si accettano scommesse sul prossimo hoster che verrá attaccato.

*** UPDATE *** (19 Giugno 2007)

Alcune buone notizie. Il server centrale é stato messo offline, per cui il rischio attuale é stato soppresso. Tuttavia, l’indirizzo che l’iframe conteneva rimanda ad un server che fa da ponte. Da quest’ultimo gli utenti venivano reindirizzati al server centrale. Chi vuole puó tranquilamente mettere su un nuovo server centrale e reindirizzare lí. Proprio per questo é importante bloccare comunque almeno l’indirizzo IP 58.65.239.180, almeno finché resta attivo.
I server di Aruba coinvolti sono stati circa 199.

*** UPDATE *** (20 Giugno 2007)

Symantec ha rilasciato alcune informazioni su come gli iframe vengano iniettati all’interno dei siti web, cioè attraverso un tool automatico che utilizza username e password dei siti web per accedere e modificare le pagine. Quindi cambiare i dati di accesso, ciò che avevano suggerito Hosting Solutions e ora Aruba agli utenti, sembrerebbe una mossa valida.

La domanda che però sorge è: in che modo gli attacker si sono procurati questa gran quantità di password di accesso? Installando un keylogger su migliaia di pc dei webmaster che gestiscono i siti web? Li hanno beccati quasi tutti che gestiscono siti web su Aruba (e quasi tutti prima che gestivano siti web su Hosting Solutions)? Se anche così fosse, cioè sono riusciti ad avere accesso a così tanti pc direttamente, evidentemente dovrebbero aver utilizzato una tecnica particolarmente efficace per iniettarlo all’interno dei pc delle vittime webmaster. A cosa servirebbe dunque l’utilizzo di MPack se sono riusciti ad attaccare direttamente già così tanti pc con una tecnica così efficace? Per colpire molti altri pc? Potevano utilizzare la stessa tecnica.

Questi webmaster utilizzano forse password deboli, di semplice individuazione? (pcalsicuro:pcalsicuro ad esempio). Potrebbe essere una valida opzione, anche se sinceramente – rimanendo in buona fede – spero impossibile che migliaia di utenti abbiano simili password di accesso.

O sono riusciti in qualche modo ad avere accesso al database degli utenti riuscendo a recuperare le credenziali di accesso? E, se questo è successo, come è successo e quando è successo? Sarebbe interessante verificare se ci sono siti modificati con iframe che sono stati pubblicati di recente, cioè sono clienti da poco tempo. Se ci fosse un denominatore comune si potrebbe anche forse capire quando possa essere avvenuta la probabile intrusione.

*** UPDATE *** (25 Giugno 2007)

Come era facilmente prevedibile, ed avevo scritto precedentemente, il server centrale è stato spostato all’IP 64.62.137.149. Bloccare anche questo IP. Prevx 2.0 riconosce il trojan downloader.