Cryptome представляет собой репозиторий информации, связанной с криптографией, свободой слова, слежкой и надзором (и соответственно сопутствующих нарушений прав человека), так что в том, что неизвестные злоумышленники взломали именно этот ресурс, усматривается некоторая мрачная ирония.
В минувшую среду на сайт «подсадили» вредоносный скрипт, который, по всей видимости, закачивал на компьютеры посетителей сайта эксплойты из набора Blackhole Toolkit. По данным антивирусной компании Sophos, именно этот набор в последние месяцы используется злоумышленниками для сетевых атак чаще всего (вдобавок «инструментарий» этого набора постоянно обновляется по мере обнаружения новых уязвимостей, что делает его особенно опасным).
Другая антивирусная компания — Symantec взялась помочь Cryptome расследовать инцидент, в то время как редакция самого ресурса обратилась к широкой общественности с просьбой проанализировать вредоносный PHP-файл.
Пока установлено следующее: атака была осуществлена с другого веб-сервера, который, скорее всего, также был заражён. В зловред зашит список адресов, «которые нельзя обижать». В этом списке, в частности, все или почти все IP, относящиеся к сетям, принадлежащим Google. Почему? Чтобы IP-адрес, с которого осуществляются атаки, не загремел в «чёрные списки», которыми располагают все популярные браузеры.
Далее зловред проверяет, поступило ли обращение к заражённому сайту с машины, работающей под управлением Windows, и то, какой браузер используется. Его «интересуют» только компьютеры с Windows и с браузерами Internet Explorer версий 6-8.
В том случае, если все параметры признаны подходящими, зловред создаёт на заражённом сервере текстовый файл, в который записывается IP-адрес отобранной жертвы, а в браузере создаётся невидимый iFrame размером один пиксель, с которого браузер обращается к удалённому серверу (в данном случае — http://65.75.137.243/Home/index.php), с которого на пользовательские компьютеры и закачивается всякая нечисть.
Что же касается заражения именно сервера, то предположительно злоумышленники смогли каким-то образом модифицировать настройки WebDAV, что и позволило им перезаражать тысячи файлов. WebDAV — сетевой протокол высокого уровня, работающий поверх HTTP для доступа к объектам и коллекциям. Если использовали его, это, скорее всего, означает, что root-доступа к серверу Cryptome.org злоумышленники не получили.
Последствия взлома удалось вычистить более-менее оперативно. Проблема в том, что выявить заражение удалось лишь через несколько дней после того, как оно состоялось: зараза провисела на сайте со среды по воскресенье, при этом общее количество заражённых файлов в основном каталоге на Cryptome.org составило около шести тысяч.