Klokkenluiderssite Cryptome gehackt
Gepubliceerd: Dinsdag 14 februari 2012
Auteur: Jasper Bakker
Klokkenluiderssite Cryptome is besmet met malware die zeker 4 dagen ongestoord heeft gedraaid. Die kwaadaardige code besmet bezoekers maar negeert met opzet bepaalde ip-adressen.
Onder de ip-adressen die met opzet niet worden aangevallen, bevinden zich meerdere reeksen die op naam staan van Google. Security-expert Paul Mutton schat in dat de aanvallers hiermee willen voorkomen dat hun code wordt geïndexeerd door die zoekmachine, om wat langer onder de radar te blijven. De op Cryptome heimelijk geïnstalleerde malware is de beruchte Blackhole-toolkit.
Cryptome is een site waarmee topgeheime informatie gelekt kan worden. Via Cryptome lekten onder andere een forensische overheidstool van Microsoft en de plannen voor Wikileaks-opvolger Open Leaks uit .
Na 4 dagen ontdekt
De klokkenluiderssite analyseert de eigen website-hack openlijk. De malware is op 8 februari op de website geplaatst en afgelopen zondag ontdekt, door een Cryptome-bezoeker. Die IE-gebruiker kreeg een waarschuwing van zijn Symantec-securitypakket.
De Blackhole-malware op de Cryptome-webserver mikt op Windows-machines met Internet Explorer versie 6, 7 of 8. De exploitcode voor de websitebezoekers wordt geladen vanaf een andere site. Dat gebeurt voor die eindgebruiker onzichtbaar: in een iFrame van 1 pixel groot.
De alarmmelding van Symantecs Norton-securitypakket:
