En sydsvensk kommuns webbsida sprider skadlig kod

2016-01-15
Denna vecka har vi kollat runt på webbsidor för att se vilka konferenslokaler som går att hyra i ett par sydsvenska städer. Kommunernas webbplatser brukar vara ett bra komplement att besöka i denna kartläggning. På en av dessa webbsidor triggades dock våra skyddssystem. Det visade sig att webbsidan som visade vilka konferenslokaler som fanns att välja på försökte placera skadlig kod på vår dator. Trojansk häst

Eftersom vi arbetar med att utreda IT-incidenter, så var det naturligt att gräva lite djupare. Webbsidans källkod (HTML) öppnades och i denna fann vi ett par svårtolkade rader. Det var instruktioner i form av JavaScript, som såg ut att vara kodade på något sätt. Självklart fortsatte vi med analysen och efter en stund var koden avkodad och anropen gick att läsa i klartext.

Det visade sig att när en besökare laddar webbsidan, så skapas ett dolt ”fönster”, som i sin tur laddar ner skadlig kod till besökarens dator och försätter den i oskyddat läge. Nu kan besökarens dator fjärrstyras utan dennes vetskap. Givetvis innebär detta ett allvarligt hot, men man kan också tolka det som ett väldigt riktat hot.

Vilka är det som besöker webbsidor för att leta lediga konferenslokaler i en stad?
- Troligtvis är en majoritet av dessa representanter från företag eller offentlig sektor.

Från vilken dator besöker de den infekterade webbsidan?
- Troligtvis från sin arbetsdator…

Detta innebär att det med stor sannolikhet finns ett antal företagsdatorer som blivit ”kidnappade” genom ett besök på denna kommuns webbsida.

Vi ringde upp kommunens IT-chef, som lovade att kolla upp saken. Den uppenbara åtgärden vidtogs direkt av kommunen, d.v.s. länken till webbsidan som sprider skadlig kod togs bort. Det man dock ställer sig frågande till är om:

  1. Skedde det någon bevissäkring innan länken togs bort?
  2. Vet kommunen när den skadliga koden placerades på webbsidan och hur detta kunde ske?
  3. Går det att spåra vem/vilka som placerat den skadliga koden på webbsidan?
  4. Vet man vilka och hur många besökare webbsidan haft det senaste året?
Vi har i dagsläget inte fått någon som helst återkoppling från kommunen. Men, vår erfarenhet från våra kunduppdrag är att de flesta i panik stänger av, raderar och ominstallerar de system som angripits.

De företagsdatorer som blivit infekterade har troligtvis haft många dagar på sig att sprida sin ”oinbjudna gäst” vidare till kollegors arbetsdatorer… Det visade sig nämligen att endast 8 av 66 antivirusverktyg upptäcker just detta specifika hot (!)

Vilket ansvar har en kommun att meddela de besökare som kan identifieras utifrån anrop/IP-adresser till den infekterade webbsidan?

- DinGard