V předvánočním období jsme zaznamenali v kybernetickém prostoru neautorizovaný přístup k webové stránce významné české neziskové organizace, kterou z taktických důvodů nebudeme jmenovat. Stránka byla napadena Injection.Black_SEO.Web.RTSS, neboli Back Hat SEO technikou, jejímž cílem má být zvýšení hodnocení „podstrčené“ webové stránky pro vyhledávače, v našem popisovaném případě přes cílené skrytí reklamních odkazů mimo viditelnou část stránky. Jak si ale za chvíli vysvětlíme, následky takového útoku mohou vést až k zneviditelnění webové stránky pro vyhledávače a na strojích zabezpečených přes webblockery bude uživatelům na ni odepřen přístup s upozorněním, že stránka byla napadena. Tím se samozřejmě internetovému světu stane nedostupnou – a to si zajisté žádná nezisková organizace nepřeje.
Webová stránka byla škodlivým kódem napadena delší dobu, což neušlo společnosti ForcePoint (dříve Websense) zabývající se vývojem kyberbezpečnostního softwaru a poskytující řešení firmám, které chtějí zabránit svým zaměstnancům v přístupu na nevhodný a závadný obsah, což by mohlo vést až k úniku klientských dat. Společnost ForcePoint po odhalení škodlivého kódu zařadila webovou stránku do kategorie „compromised websites“ a tím se obsah stránek stal automaticky nedostupný pro všechny stroje využívající webblockery propojené s databází společnosti ForcePoint – v překladu žádný zaměstnanec z kyberneticky odpovědnější firmy již nemohl webovou stránku zobrazit, a firem, které jsou kyberneticky odpovědnější a využívají podobných webblockerů, je mnoho a zaměstnávají miliony lidí po celém světě. Dříve nebo později by došlo i ke skrytí webové stránky z výsledků hledání webových vyhledávačů.
Pro neziskovou organizaci, která se snaží skrze svou webovou stránku šířit nějaké téma a pro svou činnost skrze ní například vybírat i sponzorské dary, jde o nepříjemnou situaci, neboť de facto veškerý obsah začne být okolními světu nedostupný a nevyhledatelný. V politickém kontextu tak napadení stránek skrze Injection.Black_SEO.Web.RTSS může mít i jiný význam než je agresivní způsob útoku pro zvýšení výdělku z návštěvnosti webové stránky. Může jít zkrátka o sofistikovaný útok s cílem umlčet nepohodlné neziskové organizace.
V našem případě se na webové stránce ocitl blok kódu v neviditelné části stránky, který na pozadí otevíral reklamní stránky, aniž by to návštěvník mohl vizuálně poznat. Těmto linkům se pak uměle zvyšuje možnost, že ve výsledcích vyhledávání budou na prvních pozicích – a tím pádem si zajistí i větší zisky. Zároveň to ale také vypovídá o tom, že k napadené stránce má někdo neautorizovaný přístup, který později může zneužít k závažnějšímu kybernetickému útoku, a to nejen proti neziskové organizaci, ale především proti návštěvníkům stránky – to vše může vyústit až ke krádeži klientských dat, nejhorší noční můře každé korporace. Může se ale také jednat o snahu identifikovat okruh sympatizantů a spolupracovníků neziskové organizace a získání informací zneužitelných k dalšímu politickému boji.
O tom, jakým způsobem a proč byly stránky napadeny, příliš nevíme, v současné chvíli lze pouze spekulovat. Webová stránka běží na WordPressu a má nainstalovaných mnoho pluginů, z nichž některý teoreticky mohl být napaden, útok tedy nutně nemusel cílit na neziskovou organizaci, ale na všechny stránky využívající tento plugin. Jak upozornila v minulosti sama společnost ForcePoint, používání WordPressu, nejrozšířenějšího redakčního systému na světě, s sebou nese právě i tato rizika.
Závěrem několik slov, jak zjistit, jestli vaše webová stránka není už napadena. Pro základní kontrolu by mělo postačit zadat url odkaz na stránku do vyhledávání na csi.websense.com, pokud však již napadena byla, nestačí jen škodlivý kód smazat, ale měli byste se zajímat, jakým způsobem se kód na vaše stránky dostal a zabránit dalším neautorizovaným přístupům. Není univerzální návod, jak toto zjistit. Svou stránku byste měli kontrolovat pravidelně. Zkušenější mohou sledovat přímo změny ve zdrojovém kódu své stránky.
Neziskovou organizaci jsme na problém upozornili a v současné chvíli se škodlivý kód na jejich stránce už nevyskytuje.
