Masowe ataki tego typu zdarzają się regularnie. Ostatni, z wiosny 2011 roku – Lizamoon – wykorzystał podatność Microsoft SQL Servera w wersji 2003 i 2005 na atak, by wprowadzić do zarażonych witryn link do fałszywego oprogramowania antywirusowego o nazwie „Windows Stability Center”. Wówczas Google pokazywało przynajmniej 1,5 mln witryn, które mogły zostać zakażone.

Przeprowadzone w ostatni weekend przez SANS ISC badanie wykazało, że przynajmniej 1 070 000 adresów w Sieci serwuje szkodnika o nazwie lilupophilupop.com. Czy to dużo, czy mało? Oceńcie sami. Na początku grudnia zarażonych było 80 (słownie: osiemdziesiąt) stron.

Co ciekawe, zarażono w ten sposób wcale nie adresy serwisów z Chin czy jakichś mało rozwiniętych krajów, jak to zwykle bywa. Jedną z najbardziej dotkniętych domen jest holenderska .NL, wiele także ofiar odnotowano w rejestrach .COM i .ORG. Mark Hofman z SANS ISC wyjaśnił, że witryny zostają przejęte przez wstrzyknięcie do bazy tekstowego ciągu ">. Atak ekspert uznał za „częściowo zautomatyzowany”, poprzedzony długim okresem przygotowań, lub przynajmniej przeprowadzony z wykorzystaniem sporej siły roboczej.

Nie wszyscy są jednak przekonani co do skali ataku. Mary Landesmann z Cisco twierdzi, że badanie rozpowszechnienia epidemii za pomocą wyszukiwarki jest zawodne, gdyż często wliczane są tu także strony, na których po prostu dyskutowało się o ataku. Jej zdaniem, zaatakowanych miało być tylko 650 domen. „Dotknięte witryny są raczej przypadkowe i niewielkie, więc podejrzewam spam lub inną metodę społecznej inżynierii, dzięki której ofiary są sprowadzane na przejęte witryny. Do tego może zastosowano SEO Poisoning” – uważa specjalistka.

Uspokaja także, że czasy wielkich, zautomatyzowanych włamań, generowanych za pomocą toolkitów zbudowanych wokół konkretnej podatności w oprogramowaniu, już się skończyły. „Wielkie firmy hostingowe, korporacje i komercyjne serwisy poczyniły znaczące starania by wyeliminować podatności. W wyniku tego dni milionów witryn, dotkniętych przez [podatność] w SQLi, są już prawdopodobnie za nami” – dodaje.

Czyżby więc ISC SANS niepotrzebnie straszyło? Sprawdźcie sami, czy na waszych stronach nie pojawia się gdzieś ciąg <script src="http://lilupophilupop.com/. Teraz zostanie on zindeksowany i na stronach Webhostingu, zwiększając liczbę fałszywych alarmów. Czy jednak naprawdę aż tak dużo o Lilupophilupop w Sieci przez okres świąteczno-noworoczny rozmawiano, by usprawiedliwić wzrost liczby wyników dla wspomnianego ciągu z osiemdziesięciu do ponad miliona?

źródło: isc.sans.edu, darkreading.com