Útok, který nečekáte – jak to bylo s nakaženou reklamou v síti Googlu

Září přineslo jednu z největších vln zavirované inzerce, která přitom přicházela přímo z inzertní sítě Doubleclick.

Jestli jste ještě nezačali využívat možnosti blokovat internetovou inzerci, tak je možná čas nad tím začít vážně přemýšlet. Kupodivu ani ne tak kvůli všudypřítomným, zaplavujícím a obtěžujícím reklamám, ale kvůli vlastní bezpečnosti. 

V září jsme se dočkali jedné z největších vln zavirované inzerce, která přitom přicházela přímo z inzertní sítě Doubleclick (od Googlu). Samozřejmě prostřednictvím společnosti, jejíž servery byly hacknuty a vedle reklamy také dodávaly útočný kód.

S útočící inzercí jste se mohli setkat třeba na Last.fm, ale také na řadě internetových novin, kde nic podobného neočekáváte. Co víc – případný útok většinou prošel bez povšimnutí. Málokterý antivirový program reagoval včas a adresy zneužívané pro útok se do blokačních seznamů dostávaly se zpožděním. Byť později už bylo jasné, jakým způsobem útok probíhá, a byl i označen a identifikován jako Zemot.

Odhalení nestačí

Malware šířený z hacknutých systémů společnosti Zedo měl celých deset dní na to, aby infikoval blíže nespecifikované a nezjistitelné množství počítačů.  Až 29. září se podařilo najít problém odhalit a vyřešit jej. Není ale jisté, že se něco podobného nebude znovu opakovat, příležitostí pro útočníky je nepočítaně.

Podle Malwarebytes, kde celý incident sledovali a analyzovali, se útočníci chovali opatrně, třeba i v tom, že nakažené reklamy se objevovaly jenom zhruba ve třetině případů, ale není výjimkou, že byl útok přítomen v ještě menší frekvenci – zejména proto, aby nebylo tak snadné jej odhalit a sledovat.

Samotné odhalení podobných aktivit v případě Zedo navíc nestačilo – ačkoliv si společnost už někdy okolo 26. září myslela, že zdroj problému našla a vše vyřešila, o pár dní později se útočící inzerce objevila znovu. Což nakonec vedlo k nalezení zranitelnosti v jedné z online pomůcek, které Zedo poskytovala inzerentům.

Jak Zedo uvádí, zranitelnost umožnila útočníkům nahrát PHP kód, který poté mohl prohledávat systém a získat přístup k některým z interních strojů – něco, co by se v žádném případě nemělo stát, ale přesto to bylo možné.

Riziko, které nečekáte

Na celém případu je problematické hlavně to, že prostřednictvím ovládnutí této společnosti se útočníci dostali k možnosti šířit útočný kód přes reklamní síť Googlu. Tedy v síti, u které nepředpokládáte riziko. 

CIF16

Historie malwaru a hackerů využívajících reklamní systémy je jinak poměrně bohatá, stačí vzpomenout na vlnu problémů s inzertním software OpenX (viz Za malware na webech Rozhlas.cz, Jablickar.cz či Play.cz je nejspíš OpenX).

Druhá vlna útoku je od Malwarebytes popsána v Google’s DoubleClick ad network abused once again in malvertising attacks – využívá zranitelnosti a útoku přes přehrávač Flash a samozřejmě funguje tak, že uživatel nic nezjistí. Je mu zobrazena reklama a „na pozadí“ dojde k pokusu o napadení systému (prostřednictvím CVE-2014–0515). V tomto případě šlo hlavně o zavedení ransomwaru CryptoWall, který zašifruje soubory na počítači a bude se dožadovat výkupného. 

16 názorů Vstoupit do diskuse
poslední názor přidán 8. 10. 2014 13:52

Školení: Obsahová strategie a content marketing

  •  
    Proč je obsahový marketing výrazným trendem.
  • Jak navrhnout užitečnou obsahovou strategii.
  • Jak zlepšit workflow a výsledky copywritingu.

Detailní informace o školení content strategy »