Natt til tirsdag avslørte Telenors sikkerhetssenter at Nobelinstituttets nettsider var blitt kompromittert av skadevare.
Et ukjent antall besøkende har fått maskinene sine hacket, bare ved å besøke nobelpeaceprize.org.
Trusselen som ble avdekket er meget alvorlig, ifølge det norske antivirusselskapet Norman, som straks iverksatte etterforskning og analyse.
Angriperne har benyttet et hittil ukjent sikkerhetshull i nettleseren Firefox - for å installere en trojaner hos intetanende brukere av Nobelsidene.
Hullet ble avdekket av Telenor Security Operation Centre, som også varslet Mozilla.
Mozilla jobber på spreng
- Det er svært dårlig antivirusdekning mot denne trusslen. Vi var i går kveld i kontakt med Mozilla (utgiveren av Firefox) for å gi dem mer informasjon om trusselen. De jobber på spreng med en sikkerhetsfiks, sier leder for Normans malware detection team Einar Oftedal til digi.no.
Advarselen fra Norman oppgir at sårbarheten gjelder Firefox versjon 3.5 og 3.6. Ifølge Oftedal er alle versjonene til og med den aller nyeste 3.6.11 truet.
- Den konkrete sårbarheten på Nobelsidene var mot Firefox 3.6.8 til og med 3.6.11, altså de siste versjonene som er ute. Det er ikke alltid hull oppfører seg likt på alle versjonene - også 3.5 er sårbar, men angrep mot den har vi ikke sett aktivt i omløp ennå.
- Hvor alvorlig vurderer dere denne sårbarheten?
- Dette er kjempealvorlig, fordi det ikke finnes noen fiks. Samtidig ser vi at dette blir aktivt utnyttet. Den kombinasjonen er ganske ille, sier Einar Oftedal.
Mozilla omtaler sårbarheten her, og skriver at en fiks er under utvikling. Den skal komme så raskt den er ferdig testet.
Anbefaler «Noscript»
Inntil Mozilla kommer med oppdateringen er anbefalingen overfor Firefox-brukere å installere nettleserutvidelsen Noscript. Den stopper all bruk av JavaScript i nettleseren. I tillegg oppfordrer Norman brukere å ha oppdatert antivirusløsning på datamaskinen.
- Da er du sikret mot denne skadevaren, bekrefter Oftedal, som påpeker at Norman selv la til beskyttelse mot nevnte sårbarhet i sine produkter i går, gjennom en såkalt «emergency patch» som raskt formidles til kundene.
Det er uklart hvor lenge Nobelsidene har vært infisert. I løpet av tirsdagen skal nettsidene imidlertid ha blitt renset for trusselen, ifølge Norman.
Skummel trojaner
Gjennom sårbarheten i Firefox har nettsidene til Nobel vært benyttet for å formidle en Windows-trojaner kalt Belmoo. Denne tar full kontroll over PC-er som rammes.
Deretter kan den tappe maskinen for informasjon. Skadevaren forsøker å koble seg til to nettadresser for å overføre data. Begge peker til en server i Taiwan, ifølge Norman.
Ingen av 41 testede antivirusprodukter reagerte på trojaneren som ble levert gjennom Nobelsidene, ifølge Telenors sikkerhetssenter.
Frykter spionasje fra Kina
Angrepet mot Nobelsidene kommer få uker etter at den norske Nobelkomiteen ga fredsprisen til den kinesiske menneskerettsaktivisten Liu Xiaobo.
- Dette er trolig et målrettet angrep, sier sikkerhetsekspert Frank Stien i Telenor til Aftenposten.
Den kanadiske sikkerhetsforskeren Rafal Rohoninski, som tidligere i år avslørte omfattende kinesisk digital spionasje sammen med kolleger ved University of Toronto, mener angrepet neppe er tilfeldig.
- Den ansvarlig kan være interessert i å identifisere hvem som er inne på Nobelinstituttets nettsider - særlig fra Kina, sier Rohoninski ifølge Aftenposten.
Han understreker at det ikke betyr at kinesiske myndigheter selv står bak, men at det like gjerne kan være såkalte «patriotiske» hackere som er ansvarlige for angrepet.
Les også:
- [28.10.2010] «Nobel-hullet» i Firefox stengt