この脅威の最初の報告では、iframeを含むフラグメントがサイトのページにロードされ、少なくとも15の疑わしいドメインからデータがロードされたと言われました。 アナリストは、サイトのページのコードをすぐに調査して、こうした脅威を防ぐ既存のメカニズムを使用してユーザーを保護し始めました。 以下でメカニズムについて説明しますが、ここでの主な点は異なります-見つかったコードの断片は私たちになじみがありました。
人気のあるブラウザー用の拡張機能の開発に精通している場合、作成者が自分の作品でお金を稼ぐ方法はあまりないことがわかります。 有料の拡張機能はほとんど見つかっていないため、収益を上げるためのほとんどの試みは、ユーザーが訪問したページのコードに広告を埋め込むだけで行われています。 これを行うために、拡張機能の作成者に、ユーザーがアクセスしたすべてのページに拡張機能を埋め込むコードを埋め込むアフィリエイトプログラム全体があります。 通常、埋め込まれたフラグメントは、高品質ではない追加の広告を表示することに専念していますが、一般的に言えば、より危険なものの実装を技術的に可能にします。 gosuslugi.ruには、そのような拡張機能で統計の収集や広告の表示に使用できるコードフラグメントがありました。
このようなフラグメントは、拡張機能がインストールされている場合、クライアント側のページコードに分類されます。 そして、ここで質問が請う:「このコードはサーバー側でどのように表示されましたか?」そして、仮説があります。
gosuslugi.ruページでのこのコードの出現は、標的型攻撃であるハッキングとは関係ないと考えています。 これらのページのコンテンツを編集した管理者がこの拡張機能をインストールした可能性が高くなります。 文書がクライアント側にロードされたときにドキュメントに無関係なコードを挿入し、従業員が変更を保存した後にサーバーに表示されました。 別の事実は、このバージョンを支持します。 見つかったすべてのフラグメントを注意深く監視しましたが、いずれもコンテンツのロードを開始しませんでした。コードの作成者は、政府サービスポータルのユーザーへのアクセスを期待していませんでした。 しかし、これは脅威がなかったことを意味するものではありません。コードが表示されたサイトページに気付いた時点で、いつでも攻撃を開始できます。
そして今、保護メカニズムについて。 Yandexユーザーの約1パーセントが、アクセスするページの無関係なコンテンツに関する同様の問題を抱えています。 そして、それはたくさんあります。 そのため、私たちはそのような脅威と長く積極的に戦いました。 まず、Yandex.Browserユーザーを、特定された疑わしいアドレスからのデータのロードを防ぐメカニズムの助けを借りて保護します。 新しい脅威に関する情報はすぐにSafeBrowsingデータベースに入ります。このデータベースは、 特別なAPIを使用して、ブラウザ、検索、その他のサービスで利用できます 。 これにより、アプリケーション自体の更新をリリースすることなく、流行の広がりを迅速に止めることができます。
幸い、State Servicesの場合、Yandexユーザーの大部分はすでに保護されています。見つかった16のフラグメントのうち15は、通常の脅威検索プロセスの一部としてサイトを使用する前であっても、すでにSafeBrowsingデータベースに追加されています。
そしてもう一つ。 クライアント側にシールドを持つことは良いことですが、サービス側の保護も忘れてはなりません。 ユーザーのプライベートデータを扱う主要なサービスはすべて、コンテンツセキュリティポリシーのサポートを実装することをお勧めします。 これにより、サードパーティのコンテンツの読み込みがブロックされ、ユーザーが保護されます。 Yandexサービスでは、外部コードのダウンロードを防ぐためにCSPを長い間使用しています。