Mpack-hackers richten pijlen op pornosites
Gepubliceerd: Zaterdag 23 juni 2007
Auteur: Evan Schaafsma
Hackers hebben honderden pornosites gekraakt en kwaadaardige IFRAMES-code toegevoegd, met behulp van hacksoftwarebundel Mpack.
Na de 'Italian Job' van maandag, een aanval op duizenden Italiaanse websites, richten gebruikers van de Mpack-software zich nu op pornosites. Beveiligingsbedrijf Trend Micro heeft tenminste 200 pornodomeinen aangetroffen die ofwel gehackt zijn ofwel gebruikers doorsturen naar servers met Mpack.
Mpack is een professionele uit Rusland afkomstige verzameling exploits, compleet met beheerfunctionaliteiten. Hackers misbruiken websites door een IFRAMES-code aan de pagina toe te voegen. "Het is nog niet duidelijk of de IFRAMES-code is toegevoegd aan gekraakte pornodomeinen, of de sites speciaal hiervoor gemaakt zijn, of dat de site-eigenaren betaald krijgen om de IFRAMES-code toe te voegen", aldus Trend Micro, dat vermoedt dat de aanval op 17 juni is begonnen.
Ook andere beveiligingsbedrijven buigen zich over de Mpack-hackers. "De Mpack-bende lijkt gebruik te maken van IFRAME-beheersoftware die taken op grote schaal automatiseert", aldus onderzoeker Amado Hidalgo van Symantec.
Hidalgo biedt ook een verklaring voor het hacken van legitieme websites, iets dat beveiligers eerder deze week voor raadsels stelde. "Een lijst beheerdersaccounts, mogelijk op de zwarte markt gekocht, wordt als input gebruikt", aldus de onderzoeker. Die accounts worden in Mysql opgeslagen en de beheersoftware blijft draaien zodat sites die 'schoongemaakt' zijn, opnieuw besmet worden. Daarom moeten volgens Hidalgo de beheerdersgegevens gewijzigd worden.
Apache
Beveiligingsbedrijf Sophos constateert dat 98 procent van de ongeveer 4000 sites waarin het de IFRAMES-code aantrof, draaien op een Apache-server.Volgens Sophos-onderzoker Ron O'Brien is het aantal gehackte sites normaal gesproken gelijk verdeeld tussen Apache en Microsofts IIS. "Maar in dit geval is het bijna allemaal Apache", aldus O'Brien. Sophos constateert dat 80 procent van de sites die voorzien zijn van de IFRAMES-code gehackt zijn.
Andere onderzoekers hebben zich gericht op de herkomst en andere details rondom Mpack. Zo verklaart Ken Dunham van het Verisign-Idefense Response Team, dat Mpack voor ongeveer 1000 dollar te koop is en de hacker achter het pakket schuilgaat onder de naam '$ash'
Mpack bevat exploits voor acht kwetsbaarheden, waarvan zes fouten in Windows of Internet Explorer, waaronder de ANI-bug die eerder dit jaar opdook.
