موسسه خبری سایبربان: بنا به گفتهی یکی از محققان Arbor Networks، بیش از ۶،۰۰۰ وبگاهی که با استفاده از سامانههای مدیریت محتوایی1 همچون وردپرس، جوملا و دیتالایف اِنجین2 ساخته شدهاند، مورد حملهی یک کمپین brute-force3 جدید قرار گرفتهاند.
با توجه به اظهارات مت بینگ4 باتنتی به نام Fort Disco، که تا به این لحظه ۲۵،۰۰۰ دستگاه تحت ویندوز در شکلگیری آن نقش داشتهاند، مسئول این حمله است و در نقش خود بسیار فعال ظاهر شده است.
ابزار این حمله که در ۸۰۰ وبگاه نقضشده کشف شده، گونهای از در پشتی5 پیاچپی6 FilesMan7 است که به باتمستر8 اجازه میدهد که پروندهها را مشاهده و ویرایش نماید، به بارگیری محتوای مورد نظرش پرداخته و دستوراتی را اجرا کند. محققان همچنین موفق به کشف یک هدایتکنندهی مبتنی بر پیاچپی در شمار اندکی از وبگاهها شدهاند که قربانیها را به وبگاههایی هدایت میکنند که میزبانی بستهی نفوذی Styx را بر عهده دارند.
رویکردی که Fort Disco اتخاذ کرده بسیار شبیه حملات Brobot است؛ Brobot باعث و بانی حملات متعدد انسداد سرویس9 به تعداد بیشماری از مؤسسههای مالی آمریکا در سال گذشته و ابتدای امسال است. Brobot نیز آسیبپذیریهای موجود در سامانههای مدیریت محتوا را هدف قرار داده بود، اما این کمیپن جدید مورد بحث با سوءاستفاده از گذرواژههای ضعیف کنترل سامانهها را در اختیار میگیرد. پوستهی پیاچپی که در وبگاههای تحت نفوذ قرارگرفته بارگذاری میشود، مهاجمان را قادر میسازد که با سرعت هرچه تمامتر دستورات خود را به دهها هزار بات عضو زنجیرهی باتنتِ Fort Disco ارائه نمایند.
بینگ گفت که محققان Arbor توانستهاند به دید دقیقی راجع به این کمپین تازهتأسیس دست پیدا کنند، علت این کامیابی هم چیزی نبوده جز پیکربندی اشتباه از سوی مهاجمان، و بر جا گذاشتن گزارشها در شش کارگزار فرماندهی و کنترل که Arbor آنها را کشف کرده است؛ کارگزارهایی که همگی در روسیه یا اوکراین میزبانی میشوند.
بینگ گفت: «ما بهطور تصادفی به این گزارشهای دقیق که مهاجمان در کارگزارهای فرماندهی و کنترل بر جای گذاشتهاند، دست پیدا کرده و توانستهایم با کنار هم گذاشتن یافتههای خود به نتایج خوبی برسیم.»
بینگ در ادامه گفت که کمپین مذکور در ماه می شروع به کار کرده است؛ شرکت امنیتی Arbor هم حدود یک ماه این کمپین را تحت نظر گرفته است. باتنت Fort Disco به انتشار بدافزار در دستگاههای ویندوزی که تعداد آنها تاکنون از مرز ۲۵،۰۰۰ فراتر رفته میپردازد. هنگامی که بدافزار در رایانهای مستقر شد، توسط کارگزار فرماندهی و کنترل مورد بررسی قرار میگیرد و فهرستی از وبگاههای سامانههای مدیریت محتوا، به همراه فهرستی از ترکیب شناسه و گذرواژههای رایج در اختیار آن قرار میگیرد تا آنها را نیز آلوده کند. در حقیقت فهرست دوم ترکیبی پیشفرض از گذرواژههایی نظیر admin یا 123456 است.
در بسیاری از موارد باتمستر یک در پشتی پیاچپی را بارگذاری میکند که به وی اجازه میدهد یک سری عملکردهای مخرب دیگر را نیز داشته باشد.
بینگ بیان داشت: «ما توانستهایم تعداد اندکی از موارد را کشف کنیم که باتمستر بستهی نفوذی Styx را در آنها نصب کرده باشد. اینها حملات brute-forceای هستند که خصوصیت مشترک آنها شناسهها و گذرواژههای رایج و معمول است. مهاجمان همچنین متوجه شدهاند که این سامانههای مدیریت محتوا به راحتی هرچه تمامتر قابل سوءاستفاده میباشند. خطر واقعی این است که تعداد زیادی از این وبگاهها در مراکز دادهی بزرگ با پهنای باند بالا میزبانی میشوند. از این رو به سادگی میتوان این وبگاهها را به باتِ انسداد سرویس توزیعشده10 مبدل کرد.
بینگ خاطرنشان کرد اگرچه هیچ مدرکی دال بر ارتباط این باتنت با Brobot یا حملات انسداد سرویس بانکی وجود ندارد، اما برخی زوایای مشابه میان آنها به چشم میخورد. در حقیقت حملات Fort Disco نیز از ماه می و ژوئن، که اوج فعالیتهای آن بوده، کاهش پیدا کرده است. درواقع این روند رو به کاهش کمی پس از توزیع امضاهای ضدبدافزاری برای این بدافزار ویندوزی رخ داده است.
بینگ در ادامه افزود که به احتمال زیاد نویسندهی این بدافزار روسی بوده، زیرا کارگزارهای فرماندهی و کنترل مورد استفاده دارای آدرسهای IP متعلق به روسیه و اوکراین است، شناسههای پیشفرض از نوع سیریلیک11 میباشند و برخی از رشتهخطاهای مربوط به بدافزار به زبان روسی نوشته شدهاند. با وجود این، قربانیهای این باتنت بیشتر اهل پرو، فیلیپین و مکزیک بودهاند؛ آمریکا و اروپا در این میان چندان آسیب ندیدهاند.
بینگ در پایان گفت: «براساس یافتهها میتوانیم بگوییم یکی از چیزهایی که مهاجم به دنبال آن بوده فریب کاربر از طریق یک کمپین مهندسی اجتماعی روسی برای اجرای یک پروندهی قابل اجرا بوده است. من دو نمونهی اجرایی شامل کتابی به قلم مایکل لوئیس12 به نام «بزرگِ کوتاه: در داخل ماشین روز قیامت13»، و نیز پروندهی دیگری با عنوان نسخهی کرکشدهی14 برنامهی ProxyCap را پبدا کردهام.»