2500 sitios de juego hackeados con un solo ataque

Un ataque similar a la inyección tradicional, pero con aspectos técnicos muy diferentes. Son las conclusiones de los tres investigadores en seguridad que han podido reconstruir lo que sucedió el año pasado a un gran número de sitios web de juegos de azar

Los investigadores de seguridad Gaby Nakibly, Jaime Schcolnik y Yossi Rubin anunciaron el exitoso final de una investigación en la que dieron con los responsables de un ataque hacker que el año pasado golpeó a un gran número de sitios web dedicados a juegos de azar y que aún no había sido posible determinar hasta la fecha. Se presentará un informe de demostración en la Conferencia Black Hat, que se celebrará del 30 de julio al 4 de agosto en Las Vegas.

Las fechas lo sitúan sobre hace un año, cuando los usuarios de diferentes sitios de apuestas comenzaron a encontrar una serie de comportamientos extraño, como inusuales ventanas pop-up que ofrecían códigos de acceso a otra parte de los sitios de juegos de azar. Los enlaces hacia los sitios incorporaban etiquetas de afiliados mientras que los visitantes fueron atacados. Los responsables de los sitios afectados fueron incapaces de averiguar de dónde salían los ataques.

Michael Corfman, director ejecutivo de la página de juegos de azar Webmasters Asociación Profesional, la organización la que fué dirigido el ataque, dijo: “nosotros hemos estado monitorizando de cerca el tráfico que viene desde nuestros servidores porque consideramos muy en serio esta situación. Dicho seguimiento no presentó ningún problema, lo que es absolutamente incomprensible”.

Sin embargo, los investigadores encontraron que estaba involucrado en el ataque un sitio web registrado con una falsa identidad rumana, a pesar de que el centro de los ataques apareció como sitio web de la asociación, GPWA.org. Nakibly considera sin embargo que el GPWA opera un servicio certificación 2476 insignia a sus sitios afiliados. Estas insignias se cargan directamente desde GPWA.org, lo que significa que un ataque de intercepción solo podría afectar a los visitantes de todos los sitios a la vez. Cuando el navegador carga una página, envía una solicitud al servidor que hospeda: esta petición viaja a través de varias redes diferentes, proveedor local de servicios de reda (ISP) la de un intermediario que opera el Backbone, hasta llegar al servidor de red donde está el sitio. Los investigadores encontraron que la petición de GPWA.org fue duplicada en algún momento de su camino, y enviada una copia a un servidor controlado por los atacantes. En respuesta a una solicitud única, por lo tanto, el navegador del usuario recibía dos respuestas: uno de GPWA.org y otro desde el sitio de QPWA.org, registrada a la falsa identidad rumana anterior. Ambas respuestas fueron canalizadas a través de las mismas redes, y en muchos casos el paquete QWPA llegó primero a su destino. Ante dos respuestas a la misma petición, el navegador ignora la que llegó en último lugar, normalmente el paquete GPWA.

El resultado para el usuario es el mismo que haría en el caso de un ataque de inyección tradicional: solicitar un archivo desde un sitio web, el usuario conseguirá uno de un sitio de terceros. En contraste con este tipo de ataques, que se realizan a nivel del proveedor del servicio de Internet, este nuevo tipo de ataque puede ir a alguien que va a subir cualquier contenido al sitio GPWA.org, que debido a la placa de certificación cargado remotamente, realmente va a cubierta de miles de sitios Web. Observar el servidor de logs no conduce a nada ya que todo lo que encontrará es que se responde a una solicitud de archivo.
Nakibly describe este ataque como “fuera de banda”: puesto que estos paquetes se pueden enviar desde cualquier lugar de la red, el ataque puede ser mucho más versátil y difícil de observar que un ataque normal de man in the middle. El compromiso parece venir de la red local operada por sistemas informáticos, GPWA.org y opera la infraestructura que conecta el servidor a internet. El grupo ha dirigido sólo a aquellos visitantes que llegaron en el sitio a través de una búsqueda en Google y atacaron a cada dirección IP de una en una.

Comments are closed.