Последни новини и съобщения
Сайтът на Уикилийкс разпространява вредителски програми
2016-09-02
Сътрудник на Лабораторията открива, че сайтът на Уикилийкс разпространява вредителски програми
На 29-ти юли 2016 г. Уикилийкс обяви, че прави общодостъпни огромно количество имейли на турската управляваща партия AKP. В съобщението си те намекнаха, че това е електронна поща на управляващата в Турция върхушка и може да съдържат компрометираща информация за президента Ердоган.
Скоро след това турската журналистка Зейнеп Тюфекчи написа възмутена статия, в която обвиняваше Уикилийкс, че са направили обществено достояние съдържанието на обикновен сървър за електронна поща, съдържащ предимно лични съобщения на най-обикновени хора. Тези съобщения често пъти съдържат лични данни като имена и адреси, които могат да изложат благосъстоянието, здравето, та даже и живота на тези хора на опасност.
След прочитането на този анализ, сътрудникът на Лабораторията по Компютърна Вирусология, д-р Веселин Бончев, беше осенен от следната идея. Ако това е било най-обикновен сървър за електронна поща, то потребителите му несъмнено са получавали в огромни количества това, което всички потребители на електронна поща получават – спам, измами, вредителски програми и т.н. Тъй като Уикилийкс бяха направили свободно достъпен пълния набор от съобщения (и даже бяха улеснили търсенето в тях), съществуваше сериозната заплаха вредителски програми да бъдат директно достъпни от сайта на Уикилийкс.
Свалянето на няколко файла със “съмнителни” разширения (например, “EXE”), прикачени към няколко съобщения потвърди тази хипотеза – наистина вредителки програми бяха свободно достъпни от сайта чрез директен линк към тях. Това представляваше сериозна заплаха за посетителите на сайта. Един единствен клик с мишката по такъв линк би довело да свалянето на вредителската програма, а втори клик – до изпълнението й и до заразяването на компютъра на посетителя на сайта.
С цел да улесни и продължи анализа си на тези вредителски програми, д-р Бончев написа скрипт на езика за програмиране Питон. Този скрипт позволяваше автоматизираното сваляне на файловете с подозрителни разширения, прикачени към съобщенията, достъпни от сайта, както и изпращането на информация за тях на сайта VirusTotal, където те биват сканирани с 54 различни антивирусни продукта, за да се види как различните продукти откриват (или не) съответната вредителска програма.
Първоначалната версия на скрипта не обръщаше внимание на съобщенията, маркирани като спам, на съобщенията-дубликати, както и на (различните) съобщения, съдържащи копие на един и същи файл. Резултатът беше 323 линка към доказано вредителски програми, директно достъпни от сайта на Уикилийкс.
Д-р Бончев обяви резултатите от изследването си по Туитър. Редица журналисти проявиха интерес и написаха статии по въпроса. Кратък списък с линкове към някои от тях можете да намерите в края на това съобщение. Уикилийкс не реагираха публично – не признаха гафа си, не се свързаха с д-р Бончев, не признаха приноса му и не поискаха помощ за отстраняването на вредителските програми.
Обаче те тихомълком “неутрализираха” тези 323 линка в публикувания списък. Сега при опит да се свали една от тях се сваля 101-байтов файл със следното съдържание:
This file originally was part of akp-emails release, but had to be disabled because it was a virus.
(Този файл първоначално беше част от предоставените AKP имейли, но трябваше да бъде обезвреден, защото беше вирус.)
Първо, това твърдение е технически неправилно. Практически нито една от тези вредителски програми не е вирус. (По определение, компютърният вирус е програма, която се саморазмножава. Ако една програма не го прави, то тя не е вирус, независимо колко и какви други вредителски действия извършва.) Но да оставим това; все пак Уикилийкс не са експерти по въпроса.
Второ, ние разполагаме с доказателство, че Уикилийкс сляпо са използвали информацията в доклада на д-р Бончев (въпреки пълната липса на признание от тяхна страна), без никаква допълнителна проверка. Оказа се, че д-р Бончев беше допуснал неволна грешка и един от файловете в списъка не беше вредителска програма, на напълно безвредна PowerPoint презентация. Въпреки това, линкът към този файл беше обезвреден.
Трето, въпреки че директните линкове към тези 323 вредителски програми бяха обезвредени, самите програми все още са свободно достъпни от сайта на Уикилийкс. Сайтът позволява както разглеждането на текста на съобщението, към което е прикачена вредителската програма (това само по себе си е безвредно), така и свалянето на самия прикачен файл (който е заменен със споменатият по-горе 101-байтов текст), но също така и свалянето на “суровото” съобщение в MIME формат. В този си вид то съдържа както самия текст, така и различните атрибути (хедъри), така и прикачения файл с вредителската програма. Наистина, файлът е кодиран на основа base64 и трябва да бъде разкодиран, преди изпълнението му да бъде възможно, така че опасността от заразяване е все пак занижена в сравнение с предоставянето на директен линк към оригиналния файл.
Д-р Бончев продължи изследванията си. Той създаде нова версия на скрипта, която позволява търсенето на файлове с подозрителни разширения както в спама, така и в дублицираните съобщения, и докладва всички намерени копия, вместо само първото. Целта е да се определят всички възможни линкове към вредителски програми на сайта на Уикилийкс. Последната версия на този скрипт може да бъде свалена от GitHub:
https://github.com/bontchev/wlscrape
В резултат на тези изследвания, д-р Бончев откри още 3,277 директни линка към вредителски програми на сайта на Уикилийкс. Неговите резултати могат да се видят в публикувания от него доклад (на английски):
https://github.com/bontchev/wlscrape/blob/master/malware.md
Докладът съдържа таблица с три колони. Първата колона съдържа линк съм съобщението, съдържащо вредителската програма. Разглеждането му е безопасно. Втората колона съдържа самият директен линк към вредителската програма. За да се намали опасността от неволно заразяване, този линк е променен така, че да не може да се кликва по него. Третата колона в таблицата съдържа линк към страница на www.virustotal.com, която показва как различните скенери за вируси откриват съответната вредителска програма.
По-голямата част от тези вредителски програми са даунлодери (програми, които свалят от Интернет и изпълняват други вредителски програми), рансомуер (програми, които шифроват файловете с данни на потребителя и искат откуп за разшифроването им), ботове (програми, които позволяват на автора им да поеме пълен контрол върху заразения компютър) и др.
До този момент тези 3,277 вредителски програми все още са свободно достъпни от сайта на Уикилийкс, с което сериозно застрашават сигурността на посетителите му и подронват авторитета на Уикилийкс. Като специалисти по защита на компютърната информация, ние считаме поведението на Уикилийкс за безотговорно и апелираме към тях незабавно да прекратят свободния достъп до вредителските програми, описани в доклада на д-р Бончев.
https://backchannel.com/wikileaks-has-morphed-from-journalism-hotshot-to-malware-hub-1bdd68cc560
http://gizmodo.com/wikileaks-published-dozens-of-malware-links-in-email-du-1785293372
https://www.engadget.com/2016/08/15/wikileaks-released-a-cache-of-malware-in-its-latest-email-dump/
http://www.itnews.com.au/news/wikileaks-email-dump-riddled-with-malware-434790
https://thestack.com/security/2016/08/16/wikileaks-akp-dump-contains-80-types-of-malware/
https://www.grahamcluley.com/2016/08/wikileaks-distributing-malware/