20 Ноябрь, 2007 16:27:00 | 340 раз прочтено

В понедельник сайт monster.com ушел в офлайн, аналитики доложили, что это было вызвано IFRAME атакой, с помощью которой компьютеры пользователей инфицировались целым набором эксплойтов. Если верить файлам журналов, в атаке принимало участие хакерское сообщество Russian Business Network (RBN). Корпоративные разделы Monster, позволяющие пользователям просматривать вакансии только отдельных компаний, были недоступны в понедельник, к вечеру разделы полностью опустошились. Одни из самых влиятельных американских корпораций представлены на сайте, но согласно кэша Google, пострадали лишь те компании, чьи названия начинаются на английскую букву «B», например Banana Republic, Bank of America, Black & Decker, Boeing, Broadcom и Budget Car Rental. Пользователи, находившиеся на сайте перед тем, как последний был взломан, подверглись атаке под названием Neosploit, это аналог более известной Mpack, она использует тот же набор инструментов, сказал Роджер Томсон, начальник технологического отдела Exploit Prevention Labs Inc.“В качестве зараженной страницы использовалась http://company.monster.com/toyfs/, это страница финансового отдела Тойоты”, заявил Томсон в своем сообщении сегодня ночью. “А так же http://company.monster.com/bestbuy, принадлежащая сети электроники Best Buy”Еще он добавил, что интеграция вредоносного кода IFRAME с сайтом Monster.com, по всей вероятности, произошла в понедельник. «Любопытно то, что мы зафиксировали пять попыток взлома всего за несколько часов, хотя ни до, ни после, такого не было. Я считаю, это произошло именно в понедельник.” Принцип работы IFRAME-эксплойта заключается в том, что он незаметно перенаправляет браузер пользователя на сайт, где уже работает Neosploit. Томсон обнаружил, что по меньшей мере один из таких сайтов входит в состав RBN, хостинг для работы хакерского и другого вредоносного ПО, создатели которого внезапно переместили все свои операции на территорию Китая, после чего таинственно покинули диапазоны IP-адресов, которые там использовались, и сейчас вы едва ли встретите хотя бы один их этих адресов на просторах Интернет. IP адрес сайта, куда перенаправлялись зараженные пользователи, закреплен за одним их серверов в Австралии, и является составляющей домена «myrdns.com». В свою очередь этот домен зарегистрирован на провайдера из Гонконга, под названием HostFresh Internet. Как HostFresh, так и myrdns.com, были связаны с RBN, в том числе при работе схемы IFRAME Cash, суть которой заключалась в том, что RBN платила владельцам сайтов, позволявшим размещать у себя на страницах IFRAME эксплойты. По информации анонимного блоггера, который следит за деятельностью RBN, IP адреса диапазонов, принадлежащих myrdsn.com/HostFresh, были задействованы при атаке на Банк Индии в Августе. Томсон сказал, что в понедельник вечером он только начал тщательно разбирать взлом Monster.com. “Пока еще не известно точное количество страниц, которые были атакованы, но похоже, что для всех компаний применялись одни и те же способы взлома, а компании эти- участники рейтинга Fortune 500 (прим. список 500 крупнейших по объемам продаж американских корпораций).”, пишет он в своем блоге. Напомним, что в последний раз взлом Monster.com произошел в Августе, компания заявила, что хакеры пользовались ее базой данных в течение нескольких недель, или даже месяцев, рассылали на адреса электронной почты пользователей сайта предложения работы, чем заставляли пользователей загружать на компьютер вредоносные программы. К сожалению, сегодняшней ночью комментариев по поводу инцидента от Monster.com не поступало.

• Отправить другу
• Версия для печати
• Рекомендовать

Добавить комментарий Комментарии (0 добавлено)

• Отправить другу
• Версия для печати
• Рекомендовать

Оцените содержание статьи?

Разделы

Архив

Рассылка