去年，许多赌博网站的访问者开始报告异常行为。奇怪的文本窗口会弹出，为用户提供第三方赌博网站的特殊访问代码。链接将出现在新的会员标签，几乎不明显的区别，仍然可以证明谁获得了新的介绍支付巨大的利润。这些网站的访问者遭到黑客攻击，但网站管理员无法确定新脚本来自何处。

“我们非常仔细地监控来自我们服务器的流量，因为我们非常认真地对待这种情况，”迈克尔·科夫曼（Michael Corfman）说，他是此次攻击的目标组织博彩专业网站管理员协会的执行董事我们所做的监测从未显示出任何问题，这是相当令人费解的。”

网站管理员不知道新脚本是从哪里来的

但袭击并没有发生在科夫曼的服务器上。这是发生在网络本身，使用一种复杂的新攻击，旨在吸引尽可能少的注意，同时达到极远。前往赌博协会主页的流量被重新路由到一个罗马尼亚虚拟网站，该网站正在动态**广告和会员代码。

现在，由于安全研究人员加比·纳凯利、杰米·施科尔尼克和尤西·鲁宾的工作，攻击的新细节浮出水面，这项工作将在下个月的黑帽会议上公布。重定向站点已经被关闭，研究表明GPWA站点已经几个月没有受到影响了，但是所涉及的方法仍然为研究人员提供了一个诱人的谜团。攻击的中心是GPWA.org，一个游戏专业网站管理员协会的网站，但是根据nakebly的研究，攻击的重点并不是网站本身。GPWA还运行一个网站认证服务，将认证徽章加载到2476个不同的附属网站上——通常是PokerListings.com和penny-slot-machines.com等游戏门户网站。这些徽章是直接从GPWA.org加载的，这意味着一次拦截攻击就可以同时攻击所有2476个站点的访问者。

广告注入与关联公司欺诈

据科夫曼说，结果是一个简单的广告注入，有点附属欺诈。除了弹出的文本窗口外，攻击者的javascript应用还在页面上每个产品链接的末尾添加一个附属标签，使他们每次将付费客户送到亚马逊这样的商店时都有权获得一笔小回扣。代销系统无处不在，更换运输中的链接是常见的骗局；惩罚通常更多的是被踢出应用程序商店，而不是被投入监狱。尽管如此，科夫曼还是惊讶地发现，如此复杂的攻击竟然演变成如此简单的结局，尤其是考虑到攻击者可以交付他们想要的任何有效载荷。”“我们看到了一些对我们来说似乎没有任何经济意义的攻击，”科尔夫曼说或许有一点附属收入，但不足以证明所有这些。”

要加载一个页面，一个web浏览器的请求必须经过六个不同的网络，从本地ISP到中间主干运营商，最后才能到达本地主机网络和存储网站的服务器。但在这一过程中，对GPWA.org的请求被分离，向攻击者控制的服务器发送了一个重复的请求。作为对一个请求的回应，用户得到了两个数据包：一个来自GPWA.org，另一个来自一个更险恶的网站QPWA.org，在罗马尼亚注册了一个假名。这两个包都是通过相同的网络来路由的，在大多数情况下，伪造的QPWA.org包会首先到达。面对对同一请求的两个响应，浏览器会丢弃稍后到达的响应—通常是GPWA数据包。

传播恶意软件的新途径

用户的结果与经典的注入攻击是一样的：从一个站点请求文件后，他们得到了第三方广告。但与典型的注入攻击（发生在用户的ISP级别）不同，这种攻击的目标可能是从GPWA网站加载内容的任何人——由于远程加载的徽章，GPWA网站覆盖了数千个网站。查看服务器日志不会显示攻击的迹象。您所看到的只是一个用户请求文件和正在发送的文件。

这是一种传播恶意软件的新方法，被**裸地描述为“带外攻击”。由于这些数据包可以从网络中的任何地方发送，因此这种攻击比传统的中间人攻击更通用，也更难检测。在赌博协会的情况下-第一个也是唯一一个总部设在美国的黑客**裸地发现-让一个单一的攻击进行了几个月之前，它是固定的。

“现在他们作为一个组织愿意做的事情已经很明确了。”

Nakebly的研究还发现在中国有10起类似的攻击，要么是注入恶意软件，要么是广告。中国企业家颠覆基础设施注入广告的历史由来已久——最明显的是利用假信号塔——尽管这些攻击的细节还不太清楚。nakbly还在马来西亚发现了广告注入，在印度也发现了一个涉及内容过滤工具Netsweeper的案例。

在GPWA的案例中，妥协似乎发生在信息技术系统（informationtechnologysystems）运行的本地网络上，该系统托管GPWA.org并运行将它们连接到更广泛的互联网的基础设施。该组织只针对通过谷歌搜索到达该网站的访问者，只对每个IP地址攻击一次，这使得研究人员特别难以复制攻击。

最大的谜团是谁发起了这次攻击，但科夫曼对谁可能会发动这样的黑客攻击有些怀疑。去年6月，在线赌场附属网络Affactive和RevenueJet的所有者被起诉“对其他互联网赌博企业进行网络攻击，窃取客户信息，秘密审查高管电子邮件，削弱竞争对手的业务”，同时被起诉的还有对美国主要银行的黑客攻击和操纵股票的指控。审判仍在进行中，被告没有回应置评请求。

科夫曼在之前的一次分支链接攻击中遇到了这个组织，现在认为他们可能与这两次攻击都有关。起诉书中指控的网络攻击发生在GPWA受到攻击的同一个月，目标是同一类网络企业。目前还没有确凿的证据证明该组织参与其中，但鉴于起诉书中的说法，科尔夫曼认为，他们是少数几个能够策划此类袭击的组织之一。

“现在他们作为一个组织愿意做什么已经很成熟了，”科尔夫曼说，“但当时我们还不知道。”