Cryptome представляет собой репозиторий информации, связанной с криптографией, свободой слова, слежкой и надзором (и соответственно сопутствующих нарушений прав человека), так что в том, что неизвестные злоумышленники взломали именно этот ресурс, усматривается некоторая мрачная ирония.

В минувшую среду на сайт “подсадили” вредоносный скрипт, который, по всей видимости, закачивал на компьютеры посетителей сайта эксплойты из набора Blackhole Toolkit. По данным антивирусной компании Sophos, именно этот набор в последние месяцы используется злоумышленниками для сетевых атак чаще всего (вдобавок “инструментарий” этого набора постоянно обновляется по мере обнаружения новых уязвимостей, что делает его особенно опасным).

Другая антивирусная компания – Symantec взялась помочь Cryptome расследовать инцидент, в то время как редакция самого ресурса обратилась к широкой общественности с просьбой проанализировать вредоносный PHP-файл.

Пока установлено следующее: атака была осуществлена с другого веб-сервера, который, скорее всего, также был заражён. В зловред зашит список адресов, “которые нельзя обижать”. В этом списке, в частности, все или почти все IP, относящиеся к сетям, принадлежащим Google. Почему? Чтобы IP-адрес, с которого осуществляются атаки, не загремел в “чёрные списки”, которыми располагают все популярные браузеры.

Далее зловред проверяет, поступило ли обращение к заражённому сайту с машины, работающей под управлением Windows, и то, какой браузер используется. Его “интересуют” только компьютеры с Windows и с браузерами Internet Explorer версий 6-8.

В том случае, если все параметры признаны подходящими, зловред создаёт на заражённом сервере текстовый файл, в который записывается IP-адрес отобранной жертвы, а в браузере создаётся невидимый iFrame размером один пиксель, с которого браузер обращается к удалённому серверу (в данном случае – http://65.75.137.243/Home/index.php), с которого на пользовательские компьютеры и закачивается всякая нечисть.

Что же касается заражения именно сервера, то предположительно злоумышленники смогли каким-то образом модифицировать настройки WebDAV, что и позволило им перезаражать тысячи файлов. WebDAV – сетевой протокол высокого уровня, работающий поверх HTTP для доступа к объектам и коллекциям. Если использовали его, это, скорее всего, означает, что root-доступа к серверу Cryptome.org злоумышленники не получили.

Последствия взлома удалось вычистить более-менее оперативно. Проблема в том, что выявить заражение удалось лишь через несколько дней после того, как оно состоялось: зараза провисела на сайте со среды по воскресенье, при этом общее количество заражённых файлов в основном каталоге на Cryptome.org составило около шести тысяч.