انتشار شده در تاریخ 1400/05/19 - 10:54

هدف هکرها، سرورهای خدمات اطلاعات اینترنت دولت‌ها

کارشناسان معتقدند که سرورهای خدمات اطلاعات اینترنت دولت‌ها و سایت‌های تجارت الکترونیک، هدف جدید هکرها است.

به گزارش کارگروه بین‌الملل سایبریان؛ محققان شرکت امنیت سایبری «ESET» مجموعه‌ای از 10 خانواده بدافزار را که قبلاً فاقد سند بوده‌اند، کشف کرده‌اند که به عنوان برنامه‌های افزودنی مخرب برای نرم‌افزار سرور وب خدمات اطلاعات اینترنت (IIS) اجرا شده‌اند و مهاجمان می‌توانند از آنها برای تصاحب و دسترسی به داده‌ها در سرور و حتی تغییر آنها استفاده کنند. 3 خانواده جدید کشف شده نحوه استفاده از بدافزار IIS را برای جرایم سایبری، جاسوسی سایبری و کلاهبرداری «SEO» نشان می‌دهند. این تحقیق برای اولین بار در کنفرانس «Black Hat USA 2021» ارائه شد.

تهدیدهای جدید با استراق سمع و دستکاری ارتباطات سرور، هدف قرار دادن صندوق‌های پستی دولت و معاملات کارت اعتباری در سایت‌های تجارت الکترونیک و همچنین کمک به توزیع تهدیدها و بدافزارها انجام می‌شوند. براساس دورسنجی ESET و نتایج اسکن‌های اضافی در سراسر اینترنت که برای تشخیص وجود این درهای پشتی انجام شده‌اند، حداقل 5 درب پشتی خدمات اطلاعات اینترنت از طریق سوءاستفاده از سرورهای ایمیل «Microsoft Exchange» از سال 2021 گسترش یافته است.

در میان قربانیان، دولت‌هایی در جنوب شرقی آسیا و ده‌ها شرکت متعلق به صنایع مختلف واقع در کانادا، ویتنام و هند و همچنین ایالات متحده، نیوزلند، کره جنوبی و دیگر کشورها دیده می‌شوند. بدافزار خدمات اطلاعات اینترنت، یک طبقه‌بندی متنوع از تهدیدها است که برای جرایم سایبری، جاسوسی سایبری و کلاهبرداری SEO استفاده می‌شود، اما در همه موارد، هدف اصلی آن رهگیری درخواست‌های «HTTP» وارد شده به سرور آسیب‌دیده IIS و تأثیر نحوه پاسخگویی سرور به (برخی از) این درخواست‌ها است. به

شرکت ایسِت 5 حالت اصلی را شناسایی کرد که در آنها بدافزار IIS کار می‌کند :

درهای پشتی IIS که به اپراتورهای خود اجازه کنترل از راه دور کامپیوتر به خطر افتاده را می‌دهد.
«infostealers» خدمات اطلاعات اینترنت که به اپراتورهای خود اجازه قطع ترافیک بین سرور آسیب دیده و بازدید کنندگان قانونی آن و سرقت اطلاعاتی مانند داده‌های شخصی و اطلاعات ورود به سیستم و پرداخت را می‌دهد.
انژکتورهای خدمات اطلاعات اینترنت که پاسخ‌های HTTP به بازدیدکنندگان مشروع را برای ارائه محتوای مخرب تغییر می‌دهند.
پروکسی‌های خدمات اطلاعات اینترنت که سرور آسیب دیده را به بخشی از زیرساخت کنترل و فرماندهی خانواده مخرب دیگر تبدیل می‌کند.
تقلب SEO از بدافزار خدمات اطلاعات اینترنت که محتوای ارائه شده در موتورهای جستجو را تغییر می‌دهد تا الگوریتم‌های «SERP» را دستکاری و رتبه‌بندی سایر وب‌سایت‌های مورد علاقه مهاجمان را تقویت کند.

زوزانا هرومکووا (Zuzana Hromcova )، محقق ESETتوضیح داد :

«هنوز هم اجرا روی سرورهای خدمات اطلاعات اینترنت که کار را برای مهاجمان بدون توجه به مدت زمان طولانی آسان می‌کند، برای نرم‌افزارهای امنیتی نادر است. این امر باید برای همه پورتال‌های وب جدی، که می‌خواهند از داده‌های بازدیدکنندگان خود از جمله احراز هویت و اطلاعات پرداخت محافظت کنند، نگران کننده باشد. سازمان‌هایی که از «Outlook» در وب استفاده می‌کنند نیز باید به این موضوع توجه داشته باشند، زیرا به IIS بستگی دارد و می‌تواند یک هدف جالب برای جاسوسی باشد.»