«Сирийская электронная армия» атаковала сайты крупных зарубежных СМИ

В четверг днем при попытке зайти на сайты ряда зарубежных СМИ и компаний пользователи сталкивались с всплывающим окном, которое гласило, что сайт взломан «Сирийской электронной армией». После нажатия на кнопку «ОК» пользователь перенаправлялся на страницу с символикой группировки, которая находится на домене популярного западного сервиса imgur.com. Параллельно с атакой хакеры опубликовали твит, поздравив американцев с Днем благодарения, который в США в этом году празднуется в четверг, 27 ноября. Было в нем также послание и для СМИ: «Не делайте вид, будто ISIS («Исламское государство». — «RusTopNews.Online») — мирные граждане».

Жертвами хакеров стали такие крупные СМИ, как Forbes, The Independent, The Telegraph, PC World и главный рупор арабского мира «Аль-Джазира». Среди зараженных оказались даже, казалось бы, такие далекие от международных конфликтов Ferrari и WalMart.

Разумеется, атакованные сайты таковыми оставались недолго. Спустя буквально пару часов они уже функционировали в обычном режиме. The Telegraph в своем твиттере уточнила, что заражен был не сам сайт, а подключаемый модуль, который был практически сразу заблокирован администраторами.

Заражение произошло через сервис хранения учетных записей Gigya.com. Он позволяет пользователям логиниться на различных сайтах, используя свои данные из социальных сетей, не регистрируясь каждый раз при входе на новый для себя сайт. В итоге в модуле Gigya.com на сайтах хакеры прописали короткий зловредный код, который выводил соответствующее всплывающее окно и отправлял пользователей по нужной ссылке.

Таким образом, «Сирийская электронная армия» смогла взломать систему защиты сервиса, на котором хранятся данные десятков миллионов пользователей.

Эксперты заявили «Газете.Ru», что, хотя сложно дать однозначную оценку последствиям произошедшего, недооценивать критичность атаки нельзя.

Об этом, в частности, рассказал технологический эксперт «Лаборатории Касперского» Денис Макрушин. «Опираясь на скриншоты, можно предположить, что злоумышленники использовали атаку типа «межсайтовый скриптинг» (также известная как XSS) на веб-приложения компаний. Ее результатом является внедрение произвольного JavaScript-кода в веб-страницу», — сказал Макрушин. По его словам, уязвимость, которую эксплуатируют XSS-атаки, позволяет украсть учетные данные пользователей сайта.

«Данная уязвимость образуется за счет некорректной обработки запросов веб-приложением, что и дает киберпреступникам возможность внедрять произвольный код», — добавил он.

Кроме того, Макрушин уточнил, что за скомпрометированным сайтом, как результат, может стоять утечка каких-либо ценных данных, например учетных записей посетителей взломанного ресурса, или попадание злоумышленников во внутреннюю сеть компании — владельца сайта.

В свою очередь вирусный аналитик ESET Андрей Баранов указал, что такие атаки явно можно отнести к политически мотивированным. «Атакующие могут выбрать в качестве цели какие-либо известные ресурсы и пытаться атаковать их для получения конфиденциальных данных или просто для выведения их из строя. Судя по этой атаке, злоумышленники просто пытались запугать пользователей этих ресурсов, и они не преследовали цели похищения каких-либо конфиденциальных данных пользователей», — полагает эксперт.

По мнению Баранова, о том, что целью хакеров было лишь напомнить о себе, свидетельствует тот факт, что атаки по компрометации конфиденциальных данных проводятся злоумышленниками без привлечения какого-либо постороннего внимания. «В этом же случае, наоборот, им нужно было максимальное привлечение к себе внимания с целью создания значительного информационного повода», — добавил он.