Spy Blog News

Colpito anche il Wall Street Journal. Gli hacker hanno utilizzato tecniche di SQL injection per installare codice maligno

Gli utenti internet sono stati colpiti da un attacco web diffuso che ha compromesso migliaia di siti incluse pagine web che appartengono al Wall Street Journal e al Jerusalem Post. Le stime del numero totale di siti web compromessi varia tra 7.000 e 114.000, spiegano alcuni esperti di sicurezza. Altri siti compromessi includono Servicewomen.org e Intljobs.org.

ScanSafe, società di Cisco specializzata in web tracking, ha iniziato a seguire l’incidente due giorni fa, spiega Mary Landesman, senior security researcher di Cisco. In qualche modo gli hacker hanno pubblicato sui siti web colpiti del codice HTML maligno che reindirizza le vittime su un web server maligno. Questo server cerca di installare il software sui computer dei visitatori web. In caso di successo il software fornisce ai criminali una strada per controllare remotamente i pc delle vittime.

Ricercatori della sicurezza stanno ancora raccogliendo dati sugli attacchi ma il sospetto è che gli hacker abbiano impiegato un attacco di SQL injection per indurre i siti web ad eseguire comandi del database, ottenendo poi un modo per installare il codice HTML maligno. Tutti i siti web infettati sembrano usare il web server Microsoft Internet Information Services eseguito con Active Server Pages, spiegano i ricercatori di Sucuri Security.

Questo incidente sembra essere il peggiore da quando sono stati violati ad aprile parecchi siti basati su Wordpress, spiega Andre DeMino, del gruppo di malware tracking Shadowserver. Secondo Landesman di Cisco molti dei siti violati sono stati compromessi prima, fissando quindi il totale a 7.000 mentre per Sucuri sono 114.000.

Non tutti i siti coinvolti sono stati comunque interamente compromessi, aggiunge Landesman. Su alcuni dei più grandi gli attaccanti sono stati in grado di installare il codice solo su determinate pagine. Ad esempio sul Wall Street Journal è stato colpito solo un ridotto numero di pagine che mostrava annunci immobiliari. Una portavoce del quotidano sta verificando. Sophos ha invece segnalto l’attacco sul sito del Jerusalem Post.

HP e Microsoft hanno rilasciato uno strumento gratuito chiamato Scrawlr che aiuta a verificare sei siti web presentano delle vulnerabilità SQL injection. (mg)