Ponad 1000 polskich stron internetowych zarażało złośliwym oprogramowaniem komputery użytkowników - poinformowała w środę spółka Exatel, która to ustaliła. Zdaniem firmy, to jeden z największych ataków na internautów w Polsce.

"Wodopój - tak specjaliści od cyberbezpieczeństwa nazywają witryny, które wstrzykują złośliwe oprogramowanie do urządzeń użytkowników. Jest to niezwykle popularny schemat działania cyberprzestępców. Na czarnorynkowych forach dyskusyjnych można zamówić kampanię - płaci się za liczbę zarażonych maszyn. Zarażone komputery mogą zostać na przykład zaszyfrowane, by uzyskać okup, mogą być użyte w zmasowanym ataku na serwery, mogą też po prostu nasłuchiwać w poszukiwaniu wpisywanych haseł, PIN-ów czy numerów kart kredytowych. Co ciekawe - wodopojami nie są strony niszowe, strony z nielegalnym oprogramowaniem, niezaufane. Są to często witryny dobrze znane" - tłumaczy spółka w komunikacie zamieszczonym na swojej stronie internetowej.

Jak przekazała, po kilku tygodniach dochodzenia specjaliści z centrum cyberbezpieczeństwa SOC Exatela odkryli "olbrzymią sieć takich wodopojów +pracujących+ dla cyberprzestępców".

"Odkryli również serwer, który sterował tą siecią i mechanizm jego działania. Był on zlokalizowany poza centralną i zachodnią Europą" - czytamy. Dodano, że specjaliści obserwowali, jakie dane są wysyłane do sieci wewnętrznej i jakie dane ją opuszczają. Próbkę złośliwego kodu przebadali, a analitycy zajęli się strukturą zarażonej strony.

"Zazwyczaj bardzo trudno określić precyzyjnie, jak działa mechanizm zarażania. Cyberprzestępcy potrafią dobrze się maskować. (...) Przyłapano złośliwy kod na pozostawianiu jednego dodatkowego znaku w kodzie strony. Zarażona strona +wie+, z jakiego kraju pochodzi użytkownik, z jakiego komputera korzysta, jakiego adresu IP i przeglądarki używa. W zależności od tego wybiera rodzaj złośliwego kodu. Analiza setek tysięcy przykładów pozwoliła na zidentyfikowanie 1000 stron serwujących malware klientom" - tłumaczy spółka.

Półtora miesiąca temu sonda Exatela zanotowała, "że strona klienta zachowuje się dziwnie, prawdopodobnie jest zarażona". Okazało się, że zainstalowano na niej mechanizm wstrzykujący kod na maszyny użytkowników za pomocą tak zwanego exploit-kitu RIG. "Dzięki temu, że twórcy przeoczyli fakt, że w kodzie strony zostawał jeden dodatkowy znak, udało się znaleźć pierwszy ślad. Wiadomo więc było, że trzeba obserwować strony z podobnymi śladami. Po kilku tygodniach obserwacji nasi specjaliści odkryli schemat wstrzykiwania skryptów i adres serwera, który sterował całym procesem" - dodano.

Spółka przypomina, że nie ma zaufanych stron w internecie i że aktualizacja zabezpieczeń jest kluczowa.

Exatel jest operatorem telekomunikacyjnym, dostarczającym rozwiązania dla biznesu i administracji publicznej. W 100 proc. jest spółką skarbu państwa, nadzorowaną przez ministra obrony narodowej.