Globaler Hackerangriff: Über 100'000 Seiten betroffen

Eingefügter JavaScript-Code sollte Nutzer zu schädlichen Seiten umleiten und weiterer Malware aussetzen. Trotz des massiven Volumens könnte die Zahl geschädigter Nutzer gering bleiben.

«Ich gehe davon aus, dass es etwa 20'000 Pages waren, auf denen der Schadcode wirklich funktioniert hat», meint Raimund Genes, Trend Micro CTO Anti-Malware. Allerdings ist die Angriffsmethode für das Internet von grosser Bedeutung.

Die aktuelle Attacke war massiv. Codefragmente waren bereits am Freitag auf 165'000 Pages zu finden, inzwischen dürfte diese Zahl noch deutlich gestiegen sein. Die tatsächliche Bedrohung aber war geringer. «Das JavaScript wurde auf den Trend-Micro-Pages automatisch als HTML codiert», erklärt Genes. Dadurch wurde der Schadcode nicht direkt ausgeführt.

Nutzer hätten sich durch händische Eingabe seinen Auswirkungen aussetzen müssen. Ähnliches dürfte für viele andere Seiten gelten, sodass nur ein Bruchteil der betroffenen Pages Nutzer automatisch umleitet. Eine dabei angesprochene Domain mit Malware-Seiten sei Trend Micro schon vor Entdeckung des Angriffs auf die eigenen Seiten in der Vorwoche bekannt gewesen. Inzwischen sei sie durch Zusammenarbeit mit dem chinesischen Computer Emergency Readiness Team vom Netz genommen worden.

Javascript-Insertion über SQL-Injection

Entgegen ersten Medienberichten handelte es sich nicht um eine Attacke mit iFrames, so Genes. «Es war eine Javascript-Insertion über SQL-Injection», erklärt er. Unabhängig vom genauen Vektor zeigt der aktuelle Massenangriff allerdings klar, dass sich Malware-Attacken vermehrt von E-Mail-basierten Angriffen hin zur Verbreitung über das Web verlagern.

Immerhin neun von zehn Servern seien laut WhiteHat Security angreifbar, betont Genes. Ansatzpunkt für Angriffe sind häufig interaktive Elemente wie die Suchfunktionen in Trend Micros Viren-Ezyklopädie.

«Interaktive Webseiten sind am verwundbarsten», erläutet der Malware-Experte. Hier kann es schwer sein, Manipulationen zu entdecken. Statische Webseiten hingegen sind leicht auf Veränderungen zu prüfen.

Automatisch nach Lücken gescannt

Beim aktuellen Angriff wurden Webseiten offenbar automatisch nach Lücken gescannt und es wurde versucht, den Schadcode einzubauen. Diese automatisierten Massenangriffe können zwar viele Seiten infizieren, träfen aber eher selten wirklich bekannte und wichtige Pages, wie Genes erläutert.

Im aktuellen Fall hat es mit Trend Micro einen bekannten Antiviren-Hersteller erwischt. Die betroffenen Seiten der Viren-Enzyklopädie zählen aber als weiterführende Informationsquellen nicht zu den kritischsten Web-Ressourcen des Unternehmens, betont Genes.

Wirklich auffällige Angriffe etwa auf die Startseiten wichtiger Organisationen seien meistens zielgerichtet.

smw (Quelle: pte)

In Verbindung stehende Artikel: