Древний и давно заброшенный редактор сайтов стал мощным оружием сетевых мошенников для атак на госсайты
Огромное количество сайтов сохраняет плагины устаревшего редактора, с помощью которого киберзлоумышленники стали перенаправлять пользователей на вредоносные сайты.
Как отравить поисковик
Злоумышленники начали использовать устаревший и давно заброшенный редактор веб-сайтов для компрометации сетевых ресурсов, принадлежащих образовательным и правительственным учреждениям для «чёрного SEO» и перенаправления пользователей на вредоносные сайты.
Хакеры используют опцию открытых перенаправлений, модифицируя код веб-страниц так, чтобы пользователи автоматически перенаправлялись куда-то ещё. Поисковики индексируют эти перенаправления - точнее, страницы, на которые указывает код перенаправления, в результате чего возникает возможность для кампаний по «отравлению» SEO. Доверенные домены, где располагаются легитимные, но модифицированные злоумышленниками сайты, обеспечивают вредоносным редиректам отсутствие внимания со стороны URL-фильтров в защитных средствах (антивирусах и т.д.) и более высокую позицию в выдаче поисковиков.
Поскольку сами такие редиректы лишь указывают на потенциально вредоносные сайты, ни в Google, ни в Microsoft их не рассматривают как непосредственный источник угрозы. В таком качестве рассматриваются только сайты, содержащие эти вредоносы.
Эксперт по информбезопасности, известный только как g0njxa, рассказал в Twitter, что наткнулся на целую кампанию редиректов после того, как увидел в Google рекламу генераторов внутриигровой валюты Fortnite V Bucks, которые якобы хостились на сайтах университетов.
Оказалось, что редиректы были созданы с помощью старой программы - редактора сайтов FCKeditor, который позволяет редактировать HTML-содержимое веб-страницы.
Оригинальный FCKeditor давно заброшен. Его ещё в 2009 г. сменил более новый, более совместимый с современными сетевыми стандартами CKEditor.
Однако большое количество старых сайтов, в первую очередь, образовательных и государственных учреждений, до сих пор установлены плагины для FCKeditor.
Университеты и муниципалитеты
В своих публикациях g0njxa указывает, что среди таковых оказались сайт Массачусетского технологического института (MIT), Колумбийского университета, Университета Барселоны, Университета города Оберн в США, Университет Вашингтона, Центральный университет Эквадора и несколько других.
Также затронуты правительственный сайт штата Вирджиния, сайт городской администрации Остина (штат Техас), сетевой ресурс правительства Испании, а также сайт Yellow Pages Canada.
Исследователи издания The Bleeping Computer выяснили, что скомпрометированные инстансы FCKeditor используют комбинацию статичных HTML-страниц и перенаправлений на вредоносные сайты.
Статичные страницы, открывающиеся в легитимных доменах, используются для «отравления» поисковиков, то есть, для замусоривания их результатов ссылками на вредоносные сайты.
Например, одна из ссылок в Google ведёт на установку FCKeditor в домене aum.edu (сайте Университета Обёрн в Монтгомере), на HTML-страницу, которая якобы представляет собой новостной материал о лечении тиннитуса (звона в ушах).
Однако страница свёрстана таким образом, чтобы продвигать и другие страницы в том же скомпрометированном инстансе. Очевидно, хакеры ждут, когда эти страницы займут повышенное положение в выдаче поисковиков, чтобы затем подменить их редиректами на вредоносные сайты - мошеннические, фишинговые и т.д.
Разработчик FCKeditor отреагировал на эти сообщения g0njxa заявлением, что разработка программы прекратилась ещё в 2010 г., что в ней содержатся многочисленные уязвимости и что использовать её категорически не рекомендуется никому.
«Использование устаревшего ПО на общественных сайтах - старая проблема, которая решается слишком медленно. Это может объясняться, в частности, текучкой кадров - новые работники, занимающиеся поддержкой, предпочитают ничего не менять, если оно выполняет свои основные функции», - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. По ее словам, логику можно понять: зачем тратить время и силы на изменения в платформе, если через сравнительно короткий промежуток оператор сайта опять поменяется? «И даже если руководству донести информацию о том, что с сайтом что-то не так, ответом, скорее всего, будет сакраментальное «если работает, то не трогайте. В результате устаревшее ПО может болтаться в инфраструктуре десятилетиями, умножая риски», - подытожила Анастасия Мельникова.
Как отмечает Bleeping Computer, подобная кампания - далеко не первая; в прошлом пользователи, сами того не желая, попадали на сайты для взрослых или мошеннические вариации аккаунтов OnlyFans.