Nell’ ultima settimana ben 51′000 pagine web sono state modificare da un gruppo di criminali informatici. Le modifiche apportate non erano plateali defaces in stile turco, ma piuttosto consistevano nell’ inserimento di codici malevoli nelle pagine hackerate, così che gli utenti che vi navigano vengano infettati a loro volta. A preoccupare gli esperti è stata innanzitutto la straordinaria rapidità di diffusione dell’ attacco, ed in secondo luogo il fatto che, tra i siti hackerati, vi fossero portali autorevoli, di cui gli utenti sono portati a fidarsi.

Con il trascorrere dei tempo si è scoperto poi che gran parte degli attacchi ha avuto successo su quei siti che si basavano su Microsoft SQL Server ed avevano come webserver IIS, il che ha lasciato ipotizzare ad un bug scovato dal gruppo di criminali in questi due prodotti, che sarebbe stato sfruttato ad arte per portare a compimento l’ attacco. Gli esperti si sono quindi subito rivolti a Microsoft per avere delucidazioni, ma l’ azienda ha allontanato ogni dubbio: "Gli attacker hanno confezionato un attacco automatizzato in grado di avvantaggiarsi di vulnerabilità di iniezione SQL nelle pagine Web che non seguono le ‘best practice’ di sicurezza per lo sviluppo delle applicazioni Web. Sebbene questi specifici attacchi stiano colpendo siti ospitati su web server IIS, le vulnerabilità di iniezione SQL possono affliggere siti ospitati su qualsiasi piattaforma".

Quello sopra è il sunto degli avvenimenti dei giorni scorsi, mentre oggi arriva una novità. I ricercatori dell’ Internet Storm Center avrebbero scovato un vero e proprio eseguibile in grado di sferrare attacchi per la rete mediante le dinamiche sfruttate per gli attacchi dei giorni scorsi, il che fa pensare questo sia proprio il tool utilizzato per l’ azione criminale. Stando alle analisi apportate sul software, si è scovato che esso eseguiva diversi tentativi di SQL Injection per ogni campo di testo presente sul sito analizzato, e nel caso uno di essi fosse risultato vulnerabile, iniettava tag HTML che richiamavano a script esterni maligni, hostati su nmidahena.com, aspder.com e nihaorr1.com. Inoltre, per ogni attacco riuscito, il tool inviava tutti i dati e le informazioni relative ad esso relative ad un server.

Gli esperti dell’ ISC hanno attribuito il tool ad un gruppo di cracker cinesi; stando così le cose, sembrerebbe scongiurato il pericolo di un bug in IIS e MS SQL Server, mentre verrebbe confermata l’ ipotesi avanzata da Microsoft: un attacco di massa, volto a scovare porzioni di siti web lasciate colpevolmente non-protette.

---
Related Articles at DelfinsBlog (Guido Arata):