Den danske lokalportal Midtjyllands Avis har uden at vide det spredt skadelig kode til sine brugere i en periode omkring den 24. og 25. november. Det anslås at avisen dagligt har omkring 15.000 besøgende – så et meget stort antal brugere kan være ramt af angrebet. Det fortæller sikkerhedsfirmaet CSIS, som har analyseret malware-koden.
Ifølge CSIS blev en ikke-opdateret OpenX server, som Midtjyllands Avis anvender til at levere og administrere bannerreklamer, udsat for et automatiseret SQL injektion angreb. Herigennem er der blevet indsat et skadeligt script i samtlige reklamebannere vist på mja.dk samt andre websider, der henter reklamebannere fra den berørte OpenX server.
Konsekvensen er, at almindelige brugere, som har besøgt Midtjyllands avis i det tidsrum, hvor det forgiftede banner var aktivt, er blevet udsat for systematiske drive-by angreb.
Sikkerhedsekspert Peter Kruse fra CSIS undrer sig over, at Midtjyllands Avis ikke har gjort en større indsats for at informere sine brugere om problemet og den potentielle fare.
”Det ville have pyntet om man havde taget et ansvar og advaret om problemet i stedet for at lade læserne og websidens besøgende i stikken ved at fortie problemet. Hvis vi ikke havde set dette via en trafik analyse og brug af automatiserede honeypots kunne tusindvis af brugere uden at vide det være inficeret af en avanceret informationstyv med de problemer det kan medføre,” siger Peter Kruse til ComON.
Scriptet, som er blevet injektet i reklamebannerne, har tvunget avisens besøgende over på en anden adresse, der forsøger at smugle malware ind på systemet. Der er tale om den såkaldte Carberp kode, som er en avanceret netbank- og informationstyv. Carberp angriber specifikt flere udvalgte banker i Danmark, herunder Saxo Bank og Nordea. Ifølge CSIS er flere tusinde maskiner i Danmark blevet inficeret med Carberp.
ComON har talt med Midtjyllands Avis, som bekræfter at der er sket et angreb. Samtidig afvises kritikken af, at avisen ikke har gjort nok for at fortælle om problemet.
”Det var ikke mja.dk, men vores bannerstyringssystem der var offer for et hackerangreb. Vi opdagede angrebet torsdag og lukkede selvfølgelig vores bannerstyring ned øjeblikkeligt da vi blev kontaktet af Comendo og gjort opmærksom på problemet. Siden har vi så fuldstændigt ominstalleret vores bannerstyring for at få fuldstændig vished for at hackerne er ude,” siger Bjørn Harbøll, der er online- og digitalchef hos Midtjyllands Avis.
Han fortæller at avisen faktisk har informeret sine brugere både i en artikel dateret den 25. november og i en ny artikel i dag.
”Det er selvfølgelig superærgeligt når sådan noget sker, og det har da også fået os til at gennemgå vores procedurer i forhold til sikkerhedsopdateringer på vores setup. Vi er kede af de implikationer det har haft for eventuelt berørte brugere og kan kun understrege at det er vigtigt altid at holde ens PC og antivirusprogrammer opdaterede både når man surfer på nettet. Vi er jo langt fra det eneste mediehus eller hjemmeside i det hele taget, der oplevet sådanne angreb,” siger Bjørn Harbøll.
Ifølge CSIS kan man dog selv med et opdateret antivirus-program ikke være sikker på, at Carberp-koden bliver opdaget og blokeret.
