Два года назад на конференции Black Hat исследователи Иеремия Гроссман (Jeremiah Grossman) и Мэтт Йохансен (Matt Johansen) из WhiteHat Security объяснили, как хакеры теоретически могут использовать сеть онлайн-рекламы для распространения вредоносных JS-скриптов эффективно и быстро.
В зависимости от того, сколько денег хочет потратить злоумышленник, он может сделать практически все, от атак побочной загрузкой и отправления поискового движка до DDoS-атак. «В случае DDoS-атаки менее чем за $10 мы можем очень быстро убить один сервер Apache и продержать его таким долгое время, — рассказывал Гроссман Threatpost в 2013 году. — Я не знаю, сколько бы нам стоила атака, будь там хорошая DDoS-защита, но определенно не $100. Это значит, что кто угодно без DDoS-защиты уязвим перед 10-долларовой атакой, которая может положить его сервис».
Тактика использования JavaScript для поражения цели медленно смещается из теории в практику, учитывая исследование Great Cannon, проведенное в этом году Citizen Lab, а также JavaScript-атаку против 8chan, которую проводили через вредоносные файлы изображений, размещенные на Imgur. В пятницу CloudFlare описала объемную атаку против неназванного клиента, которая, как предполагается, могла быть проведена с использованием мобильной рекламной сети. Исследователь Марек Майковский (Marek Majkowski) сообщил, что flood-атака достигла уровня 275 тыс. HTTP-запросов в секунду, приблизившись к 1,2 млрд запросов в час, в течение четырехчасового периода, передает uinc.ru.
Большая часть запросов пришла с мобильных браузеров, расположенных в Китае. «Нет способа узнать наверняка, почему так много мобильных устройств посещало атакуемую страницу, но наиболее вероятным вектором распределения кажется рекламная сеть, — написал Майковский. — Вполне вероятно, что пользователями были загружены рекламные баннеры, содержащие вредоносный JavaScript. [Эти] рекламные модули, скорее всего, были показаны в виде iframe в мобильных приложениях или в мобильных браузерах, когда люди просто листали Интернет».
Майковский заявил, что это не относится к типу атак с внедрением пакетов. Вместо этого, скорее всего, мобильные браузеры пользователей получили iframe с рекламными баннерами, запрошенными из мобильной рекламной сети. Сети перенаправляют запросы к вредоносным сторонним сайтам, которые выиграли соревнование за слот. Пользователь получает страницу, содержащую вредоносный JavaScript, который отправляет flood- или XHR-запросы в адрес атакуемого веб-сайта.
«Кажется, самая большая трудность не в создании JavaScript, а в эффективном распространении его. Поскольку эффективный способ распространения имеет решающее значение для генерирования больших объемов, но до сих пор я не видел значительных объемов, сгенерированных браузерами, — сказал Майковский. — Атаки вроде этой формируют новый тренд. Они представляют собой большую опасность: защита от такого типа атаки для операторов небольших веб-сайтов может представлять проблему».