За хакерской атакой на сервисы Yahoo могут стоять украинцы, сообщает сайт CyberSecurity, ссылаясь на результаты анализа американской компании Cisco Systems, которая разрабатывает и продает сетевое оборудование.
С 31 декабря по 4 января группа мошенников размещала на Yahoo рекламные объявления, переходы по которым приводили к заражению компьютеров вредоносными программами. Речь идет о довольно масштабной атаке, поскольку потенциально опасные ссылки каждый час открывали около 27 тысяч пользователей. Больше всего случаев заражения компьютеров было зафиксировано во Франции, Великобритании и Румынии.
В Cisco рассказали, что жертвы вредоносных сайтов перенаправлялись на ресурсы, которые уже использовались для атак и связаны с украинскими хакерскими группировками.
Джейсон Шульц, специалист по IT-безопасности Cisco, говорит, что домены, задействованные в данной атаке, были размещены в одном и том же блоке IP-адресов, которые принадлежат одному провайдеру. По данным расследования Cisco, всего в атаке были задействованы 393 IP-адреса из одного блока.
Также в компании говорят, что имена вредоносных доменов всегда начинались с серии цифр и заканчивались случайными словами, причем зачастую они представляли собой бессмысленный набор букв. Большинство доменов уже не отвечают, но некоторые продолжают работать до сих пор.
В Cisco отмечают, что основная часть мошеннических доменов была зарегистрирована в один день – 28 ноября 2013 года. Некоторые из них хостились в Канаде, другие – в Украине.
Известно, что во время кампании хакеры заражали компьютеры вредоносными кодами Zeus, Andromeda, Dorkbot/Ngrboot, а также рекламными системами нагона кликов Tinba и Necrus.