一種新的駭客如何一次入侵2500個賭博網站

去年，許多賭博網站的訪問者開始報告異常行為。奇怪的文字視窗會彈出，為使用者提供第三方賭博網站的特殊訪問程式碼。連結將出現在新的會員標簽，幾乎不明顯的區別，仍然可以證明誰獲得了新的介紹支付巨大的利潤。這些網站的訪問者遭到駭客攻擊，但網站管理員無法確定新指令碼來自何處。...

去年，許多賭博網站的訪問者開始報告異常行為。奇怪的文字視窗會彈出，為使用者提供第三方賭博網站的特殊訪問程式碼。連結將出現在新的會員標簽，幾乎不明顯的區別，仍然可以證明誰獲得了新的介紹支付巨大的利潤。這些網站的訪問者遭到駭客攻擊，但網站管理員無法確定新指令碼來自何處。

“我們非常仔細地監控來自我們伺服器的流量，因為我們非常認真地對待這種情況，”邁克爾·科夫曼（Michael Corfman）說，他是此次攻擊的目標組織博彩專業網站管理員協會的執行董事我們所做的監測從未顯示出任何問題，這是相當令人費解的。”

網站管理員不知道新指令碼是從哪裡來的

但襲擊並沒有發生在科夫曼的伺服器上。這是發生在網路本身，使用一種複雜的新攻擊，旨在吸引盡可能少的註意，同時達到極遠。前往賭博協會主頁的流量被重新路由到一個羅馬尼亞虛擬網站，該網站正在動態**廣告和會員程式碼。

現在，由於安全研究人員加比·納凱利、傑米·施科爾尼克和尤西·魯賓的工作，攻擊的新細節浮出水面，這項工作將在下個月的黑帽會議上公佈。重定向站點已經被關閉，研究表明GPWA站點已經幾個月沒有受到影響了，但是所涉及的方法仍然為研究人員提供了一個誘人的謎團。攻擊的中心是GPWA.org，一個遊戲專業網站管理員協會的網站，但是根據nakebly的研究，攻擊的重點並不是網站本身。GPWA還執行一個網站認證服務，將認證徽章載入到2476個不同的附屬網站上——通常是PokerListings.com和penny-slot-machines.com等遊戲入口網站。這些徽章是直接從GPWA.org載入的，這意味著一次攔截攻擊就可以同時攻擊所有2476個站點的訪問者。

廣告註入與關聯公司欺詐

據科夫曼說，結果是一個簡單的廣告註入，有點附屬欺詐。除了彈出的文字視窗外，攻擊者的javascript應用還在頁面上每個產品連結的末尾新增一個附屬標簽，使他們每次將付費客戶送到亞馬遜這樣的商店時都有權獲得一筆小回扣。代銷系統無處不在，更換運輸中的連結是常見的騙局；懲罰通常更多的是被踢出應用程式商店，而不是被投入監獄。儘管如此，科夫曼還是驚訝地發現，如此複雜的攻擊竟然演變成如此簡單的結局，尤其是考慮到攻擊者可以交付他們想要的任何有效載荷。”“我們看到了一些對我們來說似乎沒有任何經濟意義的攻擊，”科爾夫曼說或許有一點附屬收入，但不足以證明所有這些。”

要載入一個頁面，一個web瀏覽器的請求必須經過六個不同的網路，從本地ISP到中間主幹運營商，最後才能到達本地主機網路和儲存網站的伺服器。但在這一過程中，對GPWA.org的請求被分離，向攻擊者控制的伺服器發送了一個重覆的請求。作為對一個請求的回應，使用者得到了兩個資料包：一個來自GPWA.org，另一個來自一個更險惡的網站QPWA.org，在羅馬尼亞註冊了一個假名。這兩個包都是透過相同的網路來路由的，在大多數情況下，偽造的QPWA.org包會首先到達。面對對同一請求的兩個響應，瀏覽器會丟棄稍後到達的響應—通常是GPWA資料包。

傳播惡意軟體的新途徑

使用者的結果與經典的註入攻擊是一樣的：從一個站點請求檔案後，他們得到了第三方廣告。但與典型的註入攻擊（發生在使用者的ISP級別）不同，這種攻擊的目標可能是從GPWA網站載入內容的任何人——由於遠端載入的徽章，GPWA網站覆蓋了數千個網站。檢視伺服器日誌不會顯示攻擊的跡象。您所看到的只是一個使用者請求檔案和正在傳送的檔案。

這是一種傳播惡意軟體的新方法，被**裸地描述為“帶外攻擊”。由於這些資料包可以從網路中的任何地方傳送，因此這種攻擊比傳統的中間人攻擊更通用，也更難檢測。在賭博協會的情況下-第一個也是唯一一個總部設在美國的駭客**裸地發現-讓一個單一的攻擊進行了幾個月之前，它是固定的。

“現在他們作為一個組織願意做的事情已經很明確了。”

Nakebly的研究還發現在中國有10起類似的攻擊，要麼是註入惡意軟體，要麼是廣告。中國企業家顛覆基礎設施註入廣告的歷史由來已久——最明顯的是利用假訊號塔——儘管這些攻擊的細節還不太清楚。nakbly還在馬來西亞發現了廣告註入，在印度也發現了一個涉及內容過濾工具Netsweeper的案例。

在GPWA的案例中，妥協似乎發生在資訊科技系統（informationtechnologysystems）執行的本地網路上，該系統託管GPWA.org並執行將它們連線到更廣泛的網際網路的基礎設施。該組織只針對透過谷歌搜尋到達該網站的訪問者，只對每個IP地址攻擊一次，這使得研究人員特別難以複製攻擊。

最大的謎團是誰發起了這次攻擊，但科夫曼對誰可能會發動這樣的駭客攻擊有些懷疑。去年6月，線上賭場附屬網路Affactive和RevenueJet的所有者被起訴“對其他網際網路賭博企業進行網路攻擊，竊取客戶資訊，祕密審查高管電子郵件，削弱競爭對手的業務”，同時被起訴的還有對美國主要銀行的駭客攻擊和操縱股票的指控。審判仍在進行中，被告沒有回應置評請求。

科夫曼在之前的一次分支連結攻擊中遇到了這個組織，現在認為他們可能與這兩次攻擊都有關。起訴書中指控的網路攻擊發生在GPWA受到攻擊的同一個月，目標是同一類網路企業。目前還沒有確鑿的證據證明該組織參與其中，但鑒於起訴書中的說法，科爾夫曼認為，他們是少數幾個能夠策劃此類襲擊的組織之一。

“現在他們作為一個組織願意做什麼已經很成熟了，”科爾夫曼說，“但當時我們還不知道。”