Akademický CSIRT tým CERT Polska upozornil předminulý týden na nový a velmi nebezpečný útok, který zneužívá nedávno nalezené chyby v domácích routerech. Útočníci při něm změní DNS servery v routeru na DNS servery ovládané útočníky. Pokud si pak oběť vyžádá například adresu www.skvelabanka.cz, útočník ji může přesměrovat na jím ovládané webové stránky. Tento útok postihne všechna zařízení, která jsou v koncové síti připojena, lhostejno, zda se jedná o mobilní telefon, tablet s OS Android, MAC či PC s OS Linux nebo Windows. Takto se útočníkům efektivně podařilo překonat problém s multiplatformním prostředím, které obvykle brání rozšíření klasického bankovního malwaru na více platforem. Na druhou stranu je útok omezen přítomností zranitelného routeru v dané síti.

Přístupnost webů je důležité téma, které řeší především tvůrci webových stránek určených hlavně lidem s různými schopnostmi a zdravotními postiženími. Jsou-li webové stránky správně navrženy, vyvinuty a upraveny, pak k informacím a funkcionalitám mají přístup všichni uživatelé víceméně bez rozdílu. Dostupný web vychází vstříc různým potřebám, například vizuálním, motorickým a potřebám mobility, sluchovým, nebo kognitivním.

Ti z Vás, kteří čtou naše aktuality z bezpečnosti, možná před časem zaznamenali informaci týkající se nebezpečné reklamy, která byla součástí stránek yahoo.com. Klienti, kteří navštívili yahoo.com, obdrželi jako součást stránek také reklamy ze serveru ds.yahoo.com.

Některé z těchto reklam však byly nebezpečné. Tyto reklamy byly vložené jako rámce, které odkazovaly na další domény, z nich pak vedlo přesměrování na další adresu obsahující exploit kit zaměřený na chyby v Javě. V případě úspěšné exploitace byl pak na počítač návštěvníka stránek yahoo.com nainstalován některý z následujících malwarů:

– ZeuS
– Andromeda
– Dorkbot/Ngrbot
– Advertisement clicking malware
– Tinba/Zusy
– Necurs

Podle odhadů postavených na návštěvnosti stránek yahoo.com a obvyklé percentilové úspěšnosti v případě těchto útoků (okolo devíti procent) se odhaduje, že každou hodinu, po níž byly tyto reklamy na yahoo.com poskytovány, bylo některým z uvedených virů nakaženo 27 000 návštěvníků.

Proč o tom píši? Protože jsme tentokrát měli štěstí. Zdá se, že čeští uživatelé nebyli cílovou skupinou tohoto útoku (reklama byla primárně zaměřena na Rumunsko, Velkou Británii a Francii). Navíc yahoo.com nepatří v ČR mezi nejpoužívanější služby. Jenže nikde není řečeno, že příště se podobný útok nebude šířit ze stránek, které jsou v České republice populární.

Každá společnost, která prodává reklamu, může být podobným způsobem zneužita. Proto je potřeba, aby konečně koncoví uživatelé vzali na sebe zodpovědnost za správu a údržbu svých počítačů.

Devítiprocentní úspěšnost těchto útoků je prostě příliš vysoké číslo a je jasné, že se útočníkům podobné akce stále vyplatí. Přitom by stačilo, kdyby uživatelé udržovali své programové vybavení aktualizované, protože v případě použití různých exploit kitů se v drtivé většině případů jedná o již známé a záplatované zranitelnosti.

Bohužel nejde jen o soukromí a finance těchto nezodpovědných uživatelů. Jejich nezájem může mít v propojeném světě Internetu dopad na další uživatele. Otázkou je, jak přimět uživatele, aby se sami starali o stav svých počítačů.

Pavel Bašta