Хакеры уничтожили 100 тысяч сайтов одной атакой // 09 Декабря 2012

Крупный британский Интернет-провайдер Vaserv.com сообщил об уничтожении около 100'000 сайтов, размещенных на его серверах, в результате атаки неизвестных злоумышленников на популярный гипервизор HyperVM компании LXLabs. По мнению специалистов Vaserv.com, злоумышленники использовали доселе неизвестную критическую уязвимость в версии HyperVM 2.0.7992.

Компания Vaserv.com специализируется на недорогих услугах хостинга сайтов в форме виртуальных частных серверов (VPS - Virtualized Private Server). Воскресным вечером 7 июня этого года дежурный администратор заметил странности в работе систем, а затем обнаружилось, что из-за уязвимости гипервизора злоумышленники получили доступ к учетной записи суперпользователя (root) на UNIX-серверах и смогли запустить некоторые команды, в том числе «rm -rf», которая последовательно стирает все файлы в системе.

Поскольку половина клиентов Vaserv.com пользуется услугами без дополнительного контроля и резервного копирования сайтов, перспективы восстановления уничтоженных сайтов выглядят очень туманно. По прошествии более суток после атаки недоступными оставались не менее половины размещенных на Vaserv.com сайтов – около 100'000 клиентов, возможно, потеряли актуальные копии своих сайтов навсегда.

Руководство хостинга Vaserv.com попыталось связаться с компанией LXLabs, которая, согласно приведенным на ее сайте данным, расположена в Бангалоре (Индия). На данный момент о реакции разработчиков ничего неизвестно. Также неясно, подверглись ли опасности другие службы хостинга, которые используют технологию HyperVM. По мнению Vaserv.com, атака была выполнена с помощью техники, сходной с «SQL-инъекциями», и открыла хакерам доступ к централизованной системе управления серверами хостинга.

Никаких заявлений или информации о злоумышленниках пока не поступило, хотя обычно ответственность за такие громкие атаки сразу возлагают на какие-нибудь киберкриминальные группировки. Руководство Vaserv.com считает, что это не могло быть случайным сканированием уязвимостей, и расценивает произошедшее как целенаправленную атаку.

Подробнее об этом скандальном происшествии можно прочитать в статье журнала The Register, а ход операции по восстановлению клиентских данных освещается на сайте компании Vaserv.com.