I ricercatori di sicurezza Gaby Nakibly, Jaime Schcolnik e Yossi Rubin sono riusciti a delineare i dettagli di un attacco hacker che lo scorso anno ha colpito un vasto numero di siti web dedicati al gioco d’azzardo e del quale ancora non era stato possibile venire a capo. Una relazione dimostrativa sarà presentata in occasione della Black Hat conference, che si svolgerà dal 30 luglio al 4 agosto a Las Vegas.
Il fattaccio risale a circa un anno fa, quando gli utenti di vari siti di gioco d’azzardo hanno iniziato a riscontrare una serie di comportamenti anomali, con inusuali finestre di pop-up che offrivano codici di accesso ad altri siti di gambling di terze parti. I link verso i siti incorporavano tag di affiliazione e nel contempo i visitatori venivano attaccati, senza che i responsabili dei siti compromessi riuscissero a capire da dove arrivassero gli attacchi.
Michael Corfman, executive director della Gambling Professional Webmasters Association, l’organizzazione presa di mira dall’attacco, ha dichiarato: “Abbiamo monitorato con attenzione il traffico proveniente dai nostri server perché abbiamo considerato con estrema serietà questa situazione. Il monitoraggio non ha però mostrato alcun problema, il che è abbastanza incomprensibile”.
I ricercatori hanno però individuato che nell’attacco veniva coinvolto un sito web registrato ad una falsa identità rumena, nonostante il centro degli attacchi apparisse come il sito web dell’associazione, GPWA.org. Nakibly osserva però che la GPWA opera un servizio di certificazione erogando un badge ai suoi 2476 siti affiliati. Questi badge vengono caricati direttamente da GPWA.org, il che significa che un singolo attacco di intercettazione potrebbe andare a colpire i visitatori di tutti i siti in una volta sola.
Quando il browser web deve caricare una pagina, invia una richiesta al server che la ospita: tale richiesta viaggia attraverso varie reti differenti, da quella del fornitore di servizio di connettività, a quella dell’intermediario che opera la dorsale, per arrivare alla rete locale del server dove risiede il sito. I ricercatori hanno individuato che la richiesta verso la GPWA.org veniva duplicata ad un certo punto del suo percorso, e la copia inviata ad un server controllato dagli attaccanti. In risposta ad una singola richiesta, pertanto, il browser dell’utente riceveva due risposte: una proveniente da GPWA.org e una dal sito QPWA.org, registrato alla falsa identità rumena di cui sopra. Entrambe le risposte venivano indirizzate attraverso le stesse reti, e in molti casi il pacchetto QWPA arrivava per primo a destinazione. Dinnanzi a due risposte alla stessa richiesta, il browser ignora quella arrivata per ultima, di norma il pacchetto GPWA.
Il risultato per l’utente è lo stesso che si avrebbe nel caso di un tradizionale attacco di tipo injection: si richiede un file da un sito, se ne ottiene uno da un sito terzo. A differenza di questo genere di attacchi, che avvengono a livello dell’Internet Service Provider cui l’utente si appoggia, questo nuovo tipo di attacco può andare a bersagliare chiunque vada a caricare un contenuto dal sito GPWA.org, che per via dei badge di certificazione caricati da remoto va in realtà a coprire migliaia di siti web. Osservare i log dei server non conduce ad alcunché dal momento che tutto ciò che si riscontra è una richiesta di file alla quale viene data una risposta.
Nakibly descrive questo tipo di attacco come “out-of-band”: dal momento che questi pacchetti possono essere inviati ovunque dalla rete, l’attacco può essere ben più versatile e difficile da individuare rispetto ad un normale attacco man-in-the-middle. La compromissione sembra essere avvenuta sulla rete locale operata da Information Technology Systems, che ospita GPWA.org e opera l’infrastruttura che connette i server ad internet. Il gruppo ha preso di mira solamente i visitatori che giungevano sul sito tramite una ricerca Google e hanno attaccato ciascun indirizzo IP solamente una volta, rendendo particolarmente difficile per i ricercatori replicare l’attacco.
Resta da capire chi possa essere l’autore primo dell’attacco, ma Corfman nutre qualche sospetto sui titolari di due network di casinò online, che lo scorso anno sono finiti a processo con l’accusa di attacchi informatici contro altri siti di gambling. Tali attacchi sono avvenuti nello stesso momento in cui anche i sisti della GPWA sono stati presi di mira. Non vi è alcuna prova evidente del coinvolgimento di queste persone, ma alla luce delle accuse esplicitate nel processo, Corfman crede che essi possano essere uno dei pochi gruppi capaci di progettare un attacco del genere. “Adesso è chiaro ciò che volevano fare, ma allora non ne eravamo a conoscenza” ha osservato Corfman.
Autore: Le news di Hardware Upgrade
