GoDaddy визнає: шахраї вразили нас шкідливим програмним забезпеченням, отруївши веб-сайти клієнтів

Наприкінці минулого тижня [2023-02-16] популярна веб-хостингова компанія GoDaddy подала заявку на обов’язковий річний звіт 10-К з Комісією з цінних паперів і бірж США (SEC).

Під підзаголовком Операційні ризики, GoDaddy виявив, що:

У грудні 2022 року неавторизована третя сторона отримала доступ до наших серверів хостингу cPanel і встановила на них зловмисне програмне забезпечення. Зловмисне програмне забезпечення періодично перенаправляло випадкові веб-сайти клієнтів на шкідливі сайти. Ми продовжуємо з'ясовувати першопричину інциденту.

Переспрямування URL-адреси, також відоме як Пересилання URL-адрес, є винятковою функцією HTTP ( протокол передачі гіпертексту), і зазвичай використовується з багатьох причин.

Наприклад, ви можете вирішити змінити основне доменне ім’я вашої компанії, але хочете зберегти всі свої старі посилання; вашу компанію можуть придбати й їй доведеться перенести свій веб-вміст на сервери нового власника; або ви можете просто захотіти відключити свій поточний веб-сайт для обслуговування, а тим часом перенаправляти відвідувачів на тимчасовий сайт.

Інше важливе використання переспрямування URL-адреси полягає в тому, щоб повідомити відвідувачам, які переходять на ваш веб-сайт через звичайний старий незашифрований HTTP, що їм слід переходити за допомогою HTTPS (захищеного HTTP).

Тоді, коли вони повторно підключаться через зашифроване з’єднання, ви можете включити спеціальний заголовок, щоб повідомити їхній веб-переглядач починати з HTTPS у майбутньому, навіть якщо вони клацнуть стару http://... посилання або помилково ввести http://... вручну.

Насправді перенаправлення є настільки поширеним явищем, що якщо ви хоч зазирнете до веб-розробників, то почуєте, як вони звертаються до них за допомогою своїх числових HTTP-кодів, приблизно так само, як інші з нас говорять про «отримання 404», коли ми спробуйте відвідати сторінку, якої більше не існує, просто тому, що 404 є HTTP Not Found код помилки.

Насправді існує кілька різних кодів перенаправлення, але той, який ви, напевно, почуєте, найчастіше називають номером a 301 перенаправлення, також відоме як Moved Permanently. Саме тоді ви дізнаєтеся, що стара URL-адреса вийшла з експлуатації та навряд чи коли-небудь знову з’явиться як пряме посилання. Інші включають 303 та 307 переспрямування, широко відоме як See Other та Temporary Redirect, який використовується, коли ви очікуєте, що стара URL-адреса зрештою повернеться в активну службу.

Ось два типових приклади перенаправлення у стилі 301, які використовуються в Sophos.

Перший повідомляє відвідувачам, що використовують HTTP, негайно повторно підключитися за допомогою HTTPS, а другий існує, щоб ми могли приймати URL-адреси, які починаються лише з sophos.com перенаправляючи їх на нашу більш традиційну назву веб-сервера www.sophos.com.

У кожному випадку запис заголовка позначений Location: повідомляє веб-клієнту, куди йти далі, що браузери зазвичай роблять автоматично:

$ curl -D - --http1.1 http://sophos.com HTTP/1.1 301 Переміщено назавжди Content-Length: 0 Location: https://sophos.com/ <--повторне підключення тут (те саме місце, але за допомогою TLS) ) . . . $ curl -D - --http1.1 https://sophos.com HTTP/1.1 301 Переміщено назавжди Content-Length: 0 Location: https://www.sophos.com/ <--переспрямування на наш веб-сервер для фактичного вміст Strict-Transport-Security: . . . <--наступного разу використовуйте HTTPS для початку з . . .

Параметр командного рядка -D - вище розповідає curl програма для друку HTTP-заголовків у відповідях, які тут важливі. Обидві ці відповіді є простими перенаправленнями, що означає, що вони не мають власного вмісту для надсилання назад, що вони позначають записом заголовка Content-Length: 0. Зауважте, що веб-переглядачі зазвичай мають вбудовані обмеження щодо кількості перенаправлень, які вони виконуватимуть із будь-якої початкової URL-адреси, як простий запобіжний захід, щоб не потрапити в безкінечну цикл перенаправлення.

Контроль перенаправлення вважається шкідливим

Як ви можете собі уявити, наявність внутрішнього доступу до налаштувань веб-переадресації компанії фактично означає, що ви можете зламати їхні веб-сервери, не змінюючи безпосередньо вміст цих серверів.

Натомість ви можете непомітно перенаправити ці запити до сервера на вміст, який ви налаштували в іншому місці, залишивши самі дані сервера незмінними.

Будь-хто, хто перевіряє свої журнали доступу та завантажень на наявність доказів неавторизованих входів або несподіваних змін у файлах HTML, CS, PHP і JavaScript, які складають офіційний вміст їх сайту…

…не побачать нічого поганого, тому що їхні власні дані фактично не торкнуться.

Що ще гірше, якщо зловмисники лише час від часу запускають зловмисне перенаправлення, обман буде важко помітити.

Здається, саме це сталося з GoDaddy, враховуючи, що компанія написала в a заяву на власному сайті, що:

На початку грудня 2022 року ми почали отримувати невелику кількість скарг клієнтів на те, що їхні веб-сайти періодично переспрямовуються. Отримавши ці скарги, ми дослідили та виявили, що періодичні перенаправлення відбувалися на, здавалося б, випадкових веб-сайтах, розміщених на наших серверах загального хостингу cPanel, і GoDaddy їх нелегко відтворити, навіть на тому самому веб-сайті.

Відстеження тимчасових поглинань

Це та сама проблема, з якою стикаються дослідники кібербезпеки, коли мають справу з отруєною інтернет-рекламою, що розміщується рекламними серверами третіх сторін – на жаргоні це називається маловія.

---

---

Очевидно, що зловмисний вміст, який з’являється лише періодично, не з’являється кожного разу, коли ви відвідуєте заражений сайт, тому навіть просте оновлення сторінки, у якій ви не впевнені, може знищити докази.

Ви можете навіть цілком розумно визнати, що те, що ви щойно побачили, не було спробою атаки, а лише тимчасовою помилкою.

Ця невизначеність і невідтворюваність зазвичай затримує перше повідомлення про проблему, що грає на руку шахраям.

Подібним чином дослідники, які слідкують за повідомленнями про «періодичну зловмисність», не можуть бути впевнені, що вони також зможуть отримати копію поганого матеріалу, навіть якщо вони знають, де шукати.

Дійсно, коли злочинці використовують зловмисне програмне забезпечення на стороні сервера, щоб динамічно змінювати поведінку веб-служб (внесення змін під час виконання, якщо використовувати жаргонний термін), вони можуть використовувати широкий спектр зовнішніх факторів, щоб ще більше заплутати дослідників.

Наприклад, вони можуть змінювати свої переспрямування або навіть повністю їх забороняти залежно від часу доби, країни, з якої ви приїхали, чи використовуєте ви ноутбук чи телефон, який браузер використовуєте…

…і чи вони думати Ви дослідник кібербезпеки чи ні.

---

---

Що ж робити?

На жаль, GoDaddy забрав майже три місяці щоб розповісти світові про це порушення, і навіть зараз нема чого продовжувати.

Незалежно від того, чи є ви веб-користувачем, який відвідав сайт GoDaddy з грудня 2022 року (до якого, ймовірно, відноситься більшість із нас, усвідомлюємо ми це чи ні), чи оператором веб-сайту, який використовує GoDaddy як хостингову компанію…

…ми нічого не знаємо індикатори компромісу (IoCs), або «ознаки атаки», які ви могли помітити в той час або які ми можемо порадити вам шукати зараз.

Що ще гірше, навіть якщо GoDaddy описує порушення на своєму веб-сайті під заголовком Заява щодо останніх проблем з перенаправленням веб-сайту, йдеться у його 10-К подача що це може бути набагато більш тривалий напад, ніж, здається, означає слово «недавній»:

Ґрунтуючись на нашому розслідуванні, ми вважаємо, [що цей та інші інциденти принаймні з березня 2020 року] є частиною багаторічної кампанії складної групи загроз, яка, серед іншого, встановила зловмисне програмне забезпечення в наших системах і отримала частини код, пов’язаний із деякими службами GoDaddy.

Як згадувалося вище, GoDaddy запевнив SEC, що «ми продовжуємо розслідувати першопричину інциденту».

Будемо сподіватися, що компанії не знадобиться ще три місяці, щоб повідомити нам, що вона виявила в ході цього розслідування, яке, здається, триває три роки або більше…

---

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
• джерело: https://nakedsecurity.sophos.com/2023/02/20/godaddy-admits-crooks-hit-us-with-malware-poisoned-customer-websites/