Ataques de SQL Injection atingem sites brasileiros

Ataques em massa de SQL Injection (“Injeção SQL”) estão atingindo também sites brasileiros, de acordo com informações apuradas pela Linha Defensiva. Os ataques modificam as páginas dos websites atacados para incluir um código malicioso capaz de infectar o visitante que estiver usando um navegador web desatualizado e inseguro.

De acordo com o ARIS-LD, o Grupo de Análise e Resposta a Incidentes de Segurança da Linha Defensiva, o website do canal de televisão Futura e páginas pertencentes ao governo do Distrito Federal estão entre as afetadas. Os responsáveis por alguns portais foram avisados, porém buscas no Google mostram que o número de páginas infectadas está na casa dos milhares, sendo inviável avisar todas as vítimas.

Internacionalmente, sites como o da revista Redmond Magazine, focada em assuntos Microsoft, foram comprometidos.

Os primeiros ataques do gênero tinham como alvo apenas páginas em sites chineses e taiwaneses. Os novos ataques, apesar de infectarem sites globalmente, ainda executam códigos diferentes caso o sistema da vítima esteja com a localidade configurada para “China”.

O mesmo ataque, vários responsáveis

As invasões, que vêm ocorrendo desde o início do ano, ganharam novo fôlego graças a uma rede zumbi, a Asprox. Computadores infectados com a Asprox foram instruídos a instalar uma ferramenta maliciosa que faz buscas no Google para encontrar sites possivelmente vulneráveis e atacá-los.

Ferramentas assim estão disponíveis há anos, mas nunca foram usadas tão agressivamente.

David Dewey, da IBM X-Force, disse ao site Dark Reading que os ataques cresceram por imitação: depois que um grupo de criminosos obteve sucesso infectando websites com injeção de SQL, outros grupos começaram a fazer o mesmo.

A rede-zumbi Asprox é apenas uma entre vários outros grupos e criminosos solitários que estão tirando proveito deste problema. É difícil determinar exatamente qual grupo ou indivíduo é responsável por cada ataque, já que são todos semelhantes.

Os códigos inseridos nas páginas apontam para diversos servidores, em geral localizados na China, que hospedam arquivos maliciosos. Estes arquivos, quando acessados pelo navegador, tentam explorar diversas brechas de segurança no Internet Explorer. Se o internauta estiver com o navegador desatualizado, uma das vulnerabilidades será explorada e o computador será infectado.

Devido à natureza automatizada do ataque, nem todas as páginas “injetadas” serão capazes de infectar os internautas. Alguns dos servidores que hospedavam os arquivos maliciosos já estão fora do ar, mas o ataque verificado pela Linha Defensiva, que tenta tirar proveito de 11 falhas de segurança, ainda estava online até a publicação da reportagem.

Os ataques, por partirem de computadores zumbi e obterem seus alvos no Google, não buscam infectar nenhum site especificamente, investindo portanto no volume de páginas comprometidas. O especialista em segurança Dancho Danchev revelou que um criminoso que realiza ataques do gênero até publicou um pedido “desculpas” caso o site de um “hacker” fosse infectado, porque “não é possível controlar” os ataques.

Danchev estima, em seu blog, que mais de 1,5 milhão de websites foram comprometidos globalmente.

Com colaboração de Fabio Assolini, analista do ARIS-LD

Veja também

• [Inglês] Lista de domínios que hospedam os arquivos maliciosos usados pelos ataques
• [Inglês] Diagnóstico do Google do site da Redmond Magazine mostrando detalhes da infecção
• [Inglês] Administradores de sites confusos a respeito da fonte do problema de injeção de SQL