Nel documento "Mass Defacements: The Tools and Tricks", realizzato da David Jacoby, Senior Security Researcher del team Global Research & Analysis, mette in evidenza come oltre un centinaio di server web che sono stati infettati da 'defacers', compresi quelli appartenenti ad alcune importanti società.
Queste infezioni hanno portato alla vendita sul mercato nero di dati confidenziali sui siti nonché informazioni sulle modalità per infettarli. I cybercriminali sono stati in grado di utilizzare i server web per lanciare attacchi DDoS e inviare mail di spam. Tutti sanno che in internet hacker e criminali tentano ogni giorno di entrare nei siti web, trasformando i computer in nodi di botnet, vendendo apertamente spyware e password rubate ad utenti del mercato nero.
Un tipo specifico di crimine informatico rimane comunque avvolto dal mistero; gli attacchi di defacement modificano il contenuto o l'aspetto visivo dei siti web, in questo caso i criminali non mirano ad ottenere un profitto diretto da questi attacchi ma possono danneggiare la reputazione di determinate organizzazioni o società, causando anche notevoli perdite finanziarie.
Esiste una comunità di defacer i cui gruppi e membri sono in concorrenza tra loro per stabilire chi può craccare e danneggiare il maggior numero di siti. Ci sono una serie di archivi online dove i defacer possono vedere quante volte e chi ha modificato un determinato sito. Questi archivi comprendono anche i nomi di siti di alcune importanti società.
Una backdoor PHP, sviluppato per craccare un sito dal suo interno, è alla base di qualsiasi attacco di defacement. Le backdoor hanno una vasta gamma di funzionalità, ma la maggior parte di queste hanno dei metodi per bypassare le funzioni di sicurezza PHP, rubare informazioni, leggere e modificare i file, accedere a database SQL, craccare password, eseguire comandi arbitrari e modificare i privilegi.
Inoltre, il server su cui è ospitato il sito può essere usato per inviare spam o per effettuare attacchi DDoS. I defacer generalmente usano degli scanner per individuare i server vulnerabili e cercando, tra le altre cose, le vulnerabilità per file remoti e locali e iniezioni SQL.
La versione integrale dell'articolo è disponibile cliccando qui.