Teknisk Ukeblads lesere på nett ble i går eksponert for skadevare.
Det var Telenors sikkerhetssentral (TSOC) som oppdaget og varslet om angrepskoden, som hadde sneket seg inn på nettavisens annonsesystem.
- Vi observerte at flere av våre kunder ble videresendt til en mistenkelig tredjeparts nettside fra Teknisk Ukeblad sine nettsider. Denne siden forsøkte å laste inn en Java-fil, heter det i en redegjørelse fra Telenors eksperter.
Spredte trojaner
Angrepet skal ha utnyttet en helt fersk sårbarhet i Java, en såkalt nulldagssårbarhet som det ennå ikke finnes noen fiks mot.
Telenor opplyser at sårbare nettlesere deretter ble forsøkt infisert med en variant av banktrojaneren Citadel/Zeus, som for øyeblikket bare fanges opp av 10 av 41 antivirus-leverandører hos virustotal.com.
Ble hacket
Ukjente aktører utnyttet et sikkerhetshull i annonsesystemet deres. Ifølge Teknisk Ukeblad ble ingen servere kompromittert, men noen har klart å injisere ondsinnet kode på en annonseplassering.
- Det var et sikkerhetshull i annonsesystemet vi brukte, en open source-annonseplattform kalt OpenX som vi har driftet selv. Produktet oppdateres svært sjeldent og har sånn sett flere ukjente sikkerhetshull, sier avisens IT-ansvarlig Knut Paulsen til digi.no.
Annonseplattformen var en kjent svakhet i mediebedriften, og et av få systemer Paulsen ennå ikke hadde rukket å bytte ut, siden har begynte i jobben for om lag to år siden.
Teknisk Ukeblad var i ferd med å skifte annonseplattform når hendelsen inntraff. I går valgte de derfor raskt å bytte til Google Doubleclick for Publishers.
- Nå får vi Google til å passe systemet og de er litt flinkere til å oppdatere. Vi har også satt Watchcom til å sjekke ut loggene våre for å avdekke nøyaktig hva som skjedde, sier Paulsen.
Han forteller at de ble informert av Telenor om angrepskoden i går morges klokken 08.50. Det ondsinnede skriptet ble fjernet 20 minutter senere.
Ifølge Paulsen har skriptet vært aktivt på nettavisen siden klokken 00.47 tirsdag denne uken, altså i drøyt åtte timer.
100 besøk i timen
Nøyaktig hvor mange besøkende som er rammet virker uklart. Nettavisen oppgir at de har få lesere i det aktuelle tidsrommet.
- På nattestid har vi rundt 100 besøkende i timen. I tillegg ble DNS-adressen som folk ble videresendt til også blokkert i en periode før vi stoppet dette. Mellom klokken 08 og 09 var det derfor veldig få som ble rammet, sier Knut Paulsen.
Halvannet døgn etter har TU.no ennå ikke informert leserne sine om hendelsen i nettavisen.
- Vi har foreløpig informert om dette via Facebook-sidene våre. Vi kommer også til å gå ut med mer informasjon, sier Paulsen.
Les også:
- [19.02.2014] Skjuler kode i JPG-bilder
- [26.09.2012] Ny kritisk Java-sårbarhet
- [21.09.2012] 3 av 4 har ikke oppdatert Java
- [04.09.2012] – Java er sikkert nok
- [03.09.2012] Java-sandkassen knekket på nytt
- [31.08.2012] Oracle gir ut nødoppdatering til Java