Cisco Systems провела анализ недавней хакерской атаки, проведенной
при помощи Yahoo. Выяснилось, что организаторы атаки на рекламную сеть
находятся в Украине. «В рамках кампании группа
мошенников размещала вредоносные объявления в сети Yahoo, переходы по
которым приводили к заражению компьютеров вредоносными программами.
Анализ Cisco показал, что корнями данная атака уходит в Украину и там
же, скорее всего, находятся ее организаторы», — отмечается в публикации.
В
минувшее воскресенье Yahoo заявила, что атака была ориентирована на
пользователей из Европы, а вредоносные рекламные объявления размещались с
31 декабря по 4 января. В Cisco рассказали, что жертвы
вредоносных сайтов перенаправлялись на ресурсы, которые прежде уже были
использованы для атак и были связаны с украинскими хакерскими
группировками. Джейсон Шульц, специалист по ИТ-безопасности Cisco
Systems, говорит, что все множество доменных адресов, задействованных в
данной атаке, было размещено в одном и том же блоке IP-адресов,
принадлежащих одному и тому же провайдеру (клиенту). По данным
расследования, всего в атаке были задействованы 393 IP-адреса из одного
блока. Большая часть доменов на сегодня уже не отвечает, но некоторые
работают и по сей день. В Cisco говорят, что большая часть
мошеннических доменов была зарегистрирована одним днем — 28 ноября 2013
года. Некоторые из доменов хостились в Канаде, другие — в Украине. Известно,
что в рамках вредоносной кампании хакеры заражали компьютеры
вредоносными кодами Zeus, Andromeda, Dorkbot/Ngrboot, а также рекламными
системами нагона кликов Tinba и Necrus. По данным мониторинга
Fox-IT, вредоносный ролик показывался примерно 27 000 раз в час, а
основная зрительская аудитория организаторов кампании находилась в
Румынии, Франции и Великобритании. | 
