Biztonsági szakértők egy olyan jelenleg is zajló és kiterjedt támadást fedeztek fel, amely az Internet három legnépszerűbb webszerverét vette célba, így azok káros szoftverrel fertőzhetik meg a látogatók számítógépét. A támadásért a Linux/Cdorked.A néven ismert malware a felelős, amely hátsó kaput (backdoor) nyit a megfertőzött szervereken. Az ESET antivírus szoftvereket készítő cég szakemberei legalább 400 weboldalt azonosítottak - köztük 50 olyat amely rajta van az Alexa top 100000 listán - amely áldozatul esett a támadásnak. A szerverek közt egyaránt vannak Apache, nginx és Lighttpd rendszerek is, amelyek összesen majdnem 100 ezer számítógépet fertőztek meg a Blackhole exploit kit segítségével. Mivel az ESET szoftvere csak az Internet felhasználók nagyon kis részét látja, a fertőzések tényleges száma ennél jóval nagyobb lehet.

Az ESET antivírus szoftvereket gyártó cég és a Sucuri webes biztonsági tanácsadó kutatói közösen elemeztek egy Apache webszervereket támadó új veszélyt, amely egy rendkívül kifinomult és nagyon óvatosan működő backdoor, és ami arra szolgál, hogy a Blackhole exploit kit-tel fertőzött weboldalakra irányítsa át a gyanútlan felhasználókat. A szakértők Linux/Cdorked.A-nak nevezték el a káros szoftvert, amelyről úgy nyilatkoztak, hogy ez az eddig ismert legkifinomultabb Apache malware. "A Linux/Cdorked.A nem hagy maga után más nyomot a lemezen, mint egy módosított httpd fájlt, amely az Apache által használt daemon. Minden kapcsolódó információ a szerver memóriájában helyezkedik el, ez pedig komolyan megnehezíti az észlelést, valamint gátolja az elemzést", mondja Pierre-Marc Bureau az ESET szakértője.

A közelmúltban feltörték a Los Angeles Times és a Seagate weboldalát is. A biztonsági szakértők szerint a weboldalak az Apache webszervert használták, és a támadók egy olyan bővítményt telepítettek a rendszerekre, amelyek minden, a szerveren hostolt weboldalba egy káros tartalmú iFrame-et szúrt be. Ezeket az iFrame-eket rendszerint arra használják a támadók, hogy a weboldal látogatóit olyan más oldalakra irányítsák át, amelyek valamilyen exploit kit-et (rendszerint a Blackhole-t) tartalmazzák, és így meg tudják fertőzni a felhasználók rendszerét. A szakértők már régóta ismerik a Darkleech modult, amellyel az első támadást tavaly augusztusban követték el, és underground piacokon lehetett megvásárolni.

Hacker-ek egy csoportja egy hamis Apache modullal fertőzik meg a webszervereket, valamint lecserélik a Secure Shell-t (SSH) egy olyan hátsó kaput (backdoor) tartalmazóra, amely segítségével el tudják lopni az adminisztrátorok és felhasználók belépési adatait. A hacker a feltört szerveren kicserélik az SSH összes bináris állományát egy backdoor-t tartalmazóra, amely elküldi az összes kimenő és bejövő SSH kapcsolathoz tartozó hostnevet, felhasználónevet és jelszót egy a támadók által irányított szervernek. "Korábban már láttunk néhány SSH daemon backdoor-t, viszont azok nem terjedtek el, vagy pedig ismert rootkit-ek részei voltak. Olyat azonban korábban még nem láttunk, mint ez. Nem csak az daemon-t módosítják, hanem az összes SSH-hoz kapcsolódó programot (ssh, ssh-agent, sshd), és az egész célja, hogy ellopják a jelszavakat", írta a Sucuri biztonsági cég vezető szakártője egy blog posztban.

Az Internet több mint fele Apache webszervert használ, ezért amikor egy olyan modult fedeztünk fel az elmúlt hónapban, amely káros kódot képes beszúrni a feltört szerverekről lekért oldalakba, az érthetően felkeltette a figyelmünket. Amikor pedig arra is rájöttünk, hogy a káros szoftver banki adatokat is képes ellopni, a figyelmünk átcsapott aggodalomba. Először azon tűnődtünk el, hogy vajon ennek a szörnyetegnek van-e köze a CrowdStrike és a Kaspersky által elemzett, és az elmúlt hónapban a Full-Disclosure listán nyilvánosságra hozott Linux/Snasko.A rootkit-hez. Mint kiderítettük, semmi köze ahhoz, ez egy teljesen önálló "alkotás". Az általunk elemzett malware-t az ESET Linux/Chapro.A-ként észleli.

A Microsoft úgy döntött, hogy a Windows 8-ban lévő Internet Explorer 10-es verziójában be lesz kapcsolva a “Do Not Track” (DNT) opció, amellyel heves vitákat váltott ki a böngésző fejlesztők, online adatok elemzését végző vállalatok, az adatvédelem támogatói, a reklámozók és a World Wide Web Consortium (W3C) Tracking Protection Working Group közt. Az utolsó esemény ebben a vitában az, hogy az Apache webszerver olyan képességet kap, amely figyelmen kívül hagyja az IE10-től érkező DNT fejlécet. Az Apache fejlesztő Roy Fielding szerint a patch azért készült " mert a DNT létezésének egyetlen célja, hogy legyen egy nem alapértelmezett beállítás. Nem célja senki magánéletét védeni anélkül, hogy azt az illető be nem állítja magának".