В начале января на главной странице интернет-поисковика Yahoo! обнаружили вредоносные рекламные объявления. Встроенный в них код за несколько дней превратил миллионы компьютеров в машины для получения электронной криптовалюты (биткоинов). Несмотря на то, что с момента обнаружения вредоносного ПО прошла уже неделя, представители Yahoo! так до сих пор и не объяснили, как зараженная реклама оказалась на сайте и почему ее обнаружили лишь на четвертые сутки.
О том, что страница Yahoo.com распространяет вредоносную программу, впервые сообщила специализирующаяся на борьбе с киберугрозами нидерландская компания Fox-IT. В посте, опубликованном на ее сайте 3 января, подробно описывался механизм, благодаря которому клик по рекламе на Yahoo! оборачивался присоединением пользовательского ПК к одному из ботнетов — сети, состоящей из зараженных компьютеров.
Суть механизма оказалась довольно простой. В html-коде рекламных объявлений специалисты Fox-IT обнаружили так называемый iframe — элемент, подгружающий в заданную область на сайте стороннюю страницу. Эта страница, в свою очередь, автоматически перенаправляла пользователей на IP-адрес, с которого запускалась установка на компьютере вредоносного ПО (клиента ботнета). После этого машину ничего не подозревающего пользователя можно было использовать практически как угодно. Срабатывала система только в том случае, если компьютер использовал устаревшую версию программного обеспечения Java, содержавшую нужную для загрузки вредоносного клиента уязвимость.
По данным Fox-IT, зараженная реклама появилась на главной странице поисковика еще 30 декабря. С тех пор ее жертвами ежечасно становились около 27 тысяч пользователей. В общей сложности, как пишет британская The Guardian, за четыре дня были затронуты около двух миллионов человек. Атаке подвергались в основном компьютеры, расположенные в Европе: почти три четверти всех заражений пришлось на Румынию, Великобританию и Францию. Источником же заражения, судя по всему, стали Нидерланды — именно в этой стране зарегистрирован IP-адрес, с которого устанавливалось вредоносное ПО.
Никаких сведений относительно того, кто именно стоит за внедрением в рекламу этого кода, на момент написания заметки не было. Тем не менее эксперты из американской компании Light Cyber, к примеру, уверены, что главной мотивацией для его создателей послужило желание заработать: как выяснилось, зараженные компьютеры использовались для майнинга (выработки) биткоинов. По словам представителей Light Cyber, группа хакеров явно стремилась построить систему, которая обеспечивала бы наиболее эффективное производство криптовалюты.
Как отмечает издание Business Insider, майнинг сопровождался активным подключением компьютеров к ботнетам семейства Zeus, позволяющим, среди прочего, устанавливать на компьютеры пользователей программу Cryptolocker. Cryptolocker зашифровывает все хранящиеся на компьютере файлы, а затем выводит на экран сообщение с требованием заплатить выкуп за возвращение документов в нормальный вид. Обычно размер такого выкупа составляет два биткоина, что по курсу на 10 января составляет 1706 долларов.
Согласно подсчетам «Би-би-си», сеть из зараженных через Yahoo! компьютеров потенциально могла приносить хакерам до 98 тысяч долларов в день. С такой оценкой не согласен редактор IT-сайта SiliconAngle.com Марк Хопкинс (Mark Hopkins). По его мнению, эффективность майнинга биткоинов c использованием захваченных машин была бы крайне низкой — максимум несколько долларов за день или два.
В любом случае одними биткоинами дело не ограничивалось. Как сообщил «Ленте.ру» основатель и генеральный директор Light Cyber Гиора Энгель (Giora Engel), характер заражения говорит о том, что помимо биткоинов злоумышленников интересовали и другие, вполне тривиальные способы заработка — кража информации с банковских карт, получение денег за счет перенаправления интернет-трафика на рекламные сайты и так далее. «Это была очень специфическая система, предполагавшая множество механизмов монетизации», — заявил Энгель.
Вирусная активность на сайте Yahoo! стала идти на спад 3 января. Именно тогда компания впервые разослала в СМИ пресс-релиз, в котором сообщила, что сотрудники поисковика уже занимаются устранением вредоносных объявлений. На следующий день, в субботу, 4 января, представитель Yahoo! объявил об удалении зараженной рекламы с сайта. Спустя еще сутки в Yahoo! пояснили, что вредоносное ПО на главной странице сервиса затронуло в основном пользователей из Европы и только тех из них, у кого на компьютере установлена операционная система Windows.
Тем не менее каких-либо официальных объяснений того, как могло произойти заражение и насколько велик нанесенный хакерами ущерб, пока так и не последовало. Представитель пресс-службы Yahoo! Эллен Кон (Ellen Cohn) в ответ на просьбу «Ленты.ру» прокомментировать ситуацию лишь повторила уже размещенную в прессе информацию о том, что вирусная реклама удалена и в будущем компания станет относиться к проверке размещаемой рекламы «еще серьезнее». Позже Кон уточнила, что выявить и заблокировать вредоносную рекламу удалось благодаря стандартному мониторингу сайта, а официально содержавшая вирус реклама удалена за нарушение правил пользования сервисами Yahoo!.
Такой ответ вряд ли устроит два миллиона пользователей интернет-поисковика, чьи компьютеры оказались захвачены хакерами. Продолжительное молчание представителей сервиса в конце концов вызвало в интернете даже большее возмущение, чем сам факт попадания на главную страницу Yahoo! вируса. Пользователи Twitter, к примеру, называют отсутствие внятной реакции со стороны компании проявлением ее безответственности.
СМИ, в свою очередь, вспоминают похожую ситуацию, случившуюся с Yahoo! в декабре 2013 года. Тогда недоступными для ряда пользователей оказались почтовый сервис Yahoo! Mail, а также принадлежащий компании фотохостинг Flickr. Перебои в работе сервисов были встречены руководством поисковика молчанием, и официальных разъяснений пользователи так и не дождались.
Под руководством генерального директора Мариссы Майер, возглавившей Yahoo! летом 2012 года, сервис активно пытается вернуть былую популярность. Интернет-компания переработала внешний вид своей главной страницы, успешно завершила крупную сделку по покупке популярного блогохостинга Tumblr, представила обновленный логотип и на волне разоблачений Эдварда Сноудена даже пообещала зашифровать все хранящиеся компанией персональные данные. В том, что касается общения с собственными пользователями, успехи Майер, как выяснилось, пока не так заметны.