Злоумышленники взломали сайт китайской антивирусной группы

Китайская группа быстрого реагирования на компьютерные угрозы CISRT, аналог американского CERT, подверглась атаке хакеров. Сайт CISRT.org был взломан, а на его страницу внедрена невидимая плавающая рамка (iframe), загружающая троян.

Специалисты CISRT заметили подмену после того, как посетители стали жаловаться на странное поведение сайта. Сложность обнаружения усугублялась тем, что загрузка трояна срабатывала случайным образом: некоторые пользователи получали инфицированную страницу, а некоторые - обычную.

Вероятнее всего, сайт взломали при помощи подмены ARP-запросов, которые перенаправляли пользователей на загрузку вредоносного кода с сайтов nmmmn.com или ganbibi.com. Для того чтобы провести такую атаку, хакеры должны были захватить сервер, на котором расположен сайт CISRT.org или один из промежуточных серверов, через которые проходит большинство запросов.