Hlavní navigace

Útok, který nečekáte – jak to bylo s nakaženou reklamou v síti Googlu

 Autor: Isifa
Daniel Dočekal 7. 10. 2014

Září přineslo jednu z největších vln zavirované inzerce, která přitom přicházela přímo z inzertní sítě Doubleclick.

Jestli jste ještě nezačali využívat možnosti blokovat internetovou inzerci, tak je možná čas nad tím začít vážně přemýšlet. Kupodivu ani ne tak kvůli všudypřítomným, zaplavujícím a obtěžujícím reklamám, ale kvůli vlastní bezpečnosti. 

V září jsme se dočkali jedné z největších vln zavirované inzerce, která přitom přicházela přímo z inzertní sítě Doubleclick (od Googlu). Samozřejmě prostřednictvím společnosti, jejíž servery byly hacknuty a vedle reklamy také dodávaly útočný kód.

S útočící inzercí jste se mohli setkat třeba na Last.fm, ale také na řadě internetových novin, kde nic podobného neočekáváte. Co víc – případný útok většinou prošel bez povšimnutí. Málokterý antivirový program reagoval včas a adresy zneužívané pro útok se do blokačních seznamů dostávaly se zpožděním. Byť později už bylo jasné, jakým způsobem útok probíhá, a byl i označen a identifikován jako Zemot.

Odhalení nestačí

Malware šířený z hacknutých systémů společnosti Zedo měl celých deset dní na to, aby infikoval blíže nespecifikované a nezjistitelné množství počítačů.  Až 29. září se podařilo najít problém odhalit a vyřešit jej. Není ale jisté, že se něco podobného nebude znovu opakovat, příležitostí pro útočníky je nepočítaně.

Podle Malwarebytes, kde celý incident sledovali a analyzovali, se útočníci chovali opatrně, třeba i v tom, že nakažené reklamy se objevovaly jenom zhruba ve třetině případů, ale není výjimkou, že byl útok přítomen v ještě menší frekvenci – zejména proto, aby nebylo tak snadné jej odhalit a sledovat.

Samotné odhalení podobných aktivit v případě Zedo navíc nestačilo – ačkoliv si společnost už někdy okolo 26. září myslela, že zdroj problému našla a vše vyřešila, o pár dní později se útočící inzerce objevila znovu. Což nakonec vedlo k nalezení zranitelnosti v jedné z online pomůcek, které Zedo poskytovala inzerentům.

Jak Zedo uvádí, zranitelnost umožnila útočníkům nahrát PHP kód, který poté mohl prohledávat systém a získat přístup k některým z interních strojů – něco, co by se v žádném případě nemělo stát, ale přesto to bylo možné.

Riziko, které nečekáte

Na celém případu je problematické hlavně to, že prostřednictvím ovládnutí této společnosti se útočníci dostali k možnosti šířit útočný kód přes reklamní síť Googlu. Tedy v síti, u které nepředpokládáte riziko. 

CIF16

Historie malwaru a hackerů využívajících reklamní systémy je jinak poměrně bohatá, stačí vzpomenout na vlnu problémů s inzertním software OpenX (viz Za malware na webech Rozhlas.cz, Jablickar.cz či Play.cz je nejspíš OpenX).

Druhá vlna útoku je od Malwarebytes popsána v Google’s DoubleClick ad network abused once again in malvertising attacks – využívá zranitelnosti a útoku přes přehrávač Flash a samozřejmě funguje tak, že uživatel nic nezjistí. Je mu zobrazena reklama a „na pozadí“ dojde k pokusu o napadení systému (prostřednictvím CVE-2014–0515). V tomto případě šlo hlavně o zavedení ransomwaru CryptoWall, který zašifruje soubory na počítači a bude se dožadovat výkupného. 

Našli jste v článku chybu?
Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

DigiZone.cz: Skylink Samsung EVO-S příští týden

Skylink Samsung EVO-S příští týden

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Vitalia.cz: Inspekce našla nelegální sklad v SAPĚ. Zase

Inspekce našla nelegální sklad v SAPĚ. Zase

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

Podnikatel.cz: Kalousek chce odklad EET. Předvolební tah?

Kalousek chce odklad EET. Předvolební tah?

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

DigiZone.cz: UPC má v nabídce Discovery v HD

UPC má v nabídce Discovery v HD

DigiZone.cz: Digi2GO: výborný základ, ale...

Digi2GO: výborný základ, ale...

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

DigiZone.cz: Test: brýle pro virtuální realitu Exos Urban

Test: brýle pro virtuální realitu Exos Urban

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

DigiZone.cz: O2 TV doplnilo kanály HBO v HD

O2 TV doplnilo kanály HBO v HD

Lupa.cz: Kde leží hardwarový pupek světa?

Kde leží hardwarový pupek světa?

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

DigiZone.cz: Pure má tři nové přijímače DAB

Pure má tři nové přijímače DAB

DigiZone.cz: Funbox 4K v DVB-T2 má ostrý provoz

Funbox 4K v DVB-T2 má ostrý provoz

Podnikatel.cz: EET pro e-shopy? Postavené na hlavu

EET pro e-shopy? Postavené na hlavu