Najwyraźniej obywatelom innych krajów niż CHRL znudziła się święta wojna rozpętana przez obywateli Kraju Środka przeciwko imperialistycznemu gigantowi CNN. Zmasowany SQL injection dosięgnął około 10 000 chińskich serwerów.
Atak został wykryty 13 maja i od tamtego czasu podobno trwa cały czas. Prawdopodobnie pochodzi ze skompromitowanych hostów, ponieważ jak twierdzi prezes firmy Armorize Technologies Inc. z Taipei, która ten atak wykryła, nie następują nawet próby ukrycia czy fałszowania adresu IP serwerów inicjujących atak.
Ciekawą propagandę można zauważyć w komunikacie, mianowicie jako efekt wrogich działań jest pokazana zarażona strona szpitala Hsinchu… Taak, oczywiście nie ma to jak zrobić czarny PR pokazując biedne zaatakowane cele cywilne.
W dalszej części raportu można przeczytać, kilka interesujących aspektów technicznych zdarzenia. Wygląda na to, że jest to wielowarstwowy atak, wykorzystujący znane podatności w różnych narzędziach, np:
S06-014 (CVE-2006-0003), MS07-017 (CVE-2007-1765), RealPlayer IERPCtl.IERPCtl.1 (CVE-2007-5601), GLCHAT.GLChatCtrl.1 (CVE-2007-5722), MPS.StormPlayer.1 (CVE-2007-4816), QvodInsert.QvodCtrl.1, DPClient.Vod (CVE-2007-6144), BaiduBar.Tool.1 (CVE-2007-4105), VML Exploit (CVE-2006-4868) PPStream (CVE-2007-4748).
Jak można zauważyć, atak jest targetowany w chińskojęzyczny obszar internetu, ponieważ jedna z powyższych podatności dotyczy narzędzia popularnego przede wszystkim w Azji. Dokładnie chodzi o BaiduBar, który wydaje się być rozszerzeniem Internet Explorera do łatwiejszej i wygodniejszej obsługi chińskiej przeszukiwarki sieci Baidu.com. Wydaje się, ponieważ po wpisaniu tej frazy do Googla dostajemy kilkanaście stron oferujących usunięcie tego narzędzia z systemu oraz kilka innych klasyfikujących go jako spyware lub adware – np. strona TendMicro. Jednym słowem wykorzystuje się tutaj błąd w malware – piękne ;-).
Kolejnym poziomem ataku jest zarażanie legalnych stron iframami, które przekierowują odwiedzającego na stronę, która przeprowadza dalsze ataki na przeglądarkę. Ten sposób jest ostatnio bardzo modny.
Początek posta miał być w założeniu prowokujący do debaty, ponieważ nigdzie na sieci nie ma potwierdzonych informacji jakoby ten atak był odwetem za chiński napad na CNN. Z drugiej strony najwyraźniej na podstawie innych publikacji, można uważać, że cyberwojna Chiny-Reszta Świata powoli się rozkręca. Cóż, pożyjemy – zobaczymy.
Źródło: http://www.computerworld.com/action/article.do?c(…)ource=rss_news50
2 komentarze do
22 maja, 2008 o godzinie 13:21
Notka ok, ale to mnie uderzyło po oczach: „Jak można zauważyć, atak jest __TARGETOWANY__ w chińskojęzyczny…” Nie lepiej brzmi skierowany?
Pozdrawiam
22 maja, 2008 o godzinie 21:10
W sumie racja, jest na to słowo wiele poprawnych polskich określeń.