هجوم بد‌افزارهاي درپشتي به سرورها

بيش از 23 هزار سرور آلوده به در‌پشتي (Backdoor) به نام CryptoPHP كشف شدند. اين بدافزار از طريق اتصال و همراه شدن با تم‌ها و پلاگين‌هاي سيستم‌هاي مديريت محتواي وب محبوب به سرورها نفوذ و دربردارنده كدهاي اسكريپت مخربي است كه امكان حملات از راه دور و اجراي كدهاي خوداجرا روي وب‌سرور را فراهم مي‌كند.

بيش از 23 هزار سرور آلوده به در‌پشتي (Backdoor) به نام CryptoPHP كشف شدند. اين بدافزار از طريق اتصال و همراه شدن با تم‌ها و پلاگين‌هاي سيستم‌هاي مديريت محتواي وب محبوب به سرورها نفوذ و دربردارنده كدهاي اسكريپت مخربي است كه امكان حملات از راه دور و اجراي كدهاي خوداجرا روي وب‌سرور را فراهم مي‌كند.

در گام بعدي، محتواي آلوده و مخرب را روي سايت‌هايي مي‌فرستد كه ميزباني مي‌شوند. براساس گزارش شركت امنيتي Fox-IT، اين بدافزار بيش‌تر توسط هكرهاي كلاه سياهي مورد استفاده قرار مي‌گيرد كه مشغول بهينه‌سازي موتورهاي جست‌وجو هستند. عملياتي كه اين هكرها انجام مي‌دهند به اين صورت است كه كلمات كليدي و صفحات آلوده و خوداجرايي را روي سايت‌هاي ميزبان در معرض خطر تزريق مي‌كنند تا نتايج جست‌وجو و رتبه‌بندي آن‌ها بالاتر رود و سيستم‌هاي مديريت محتواي آلوده شامل محتوا و اطلاعات مورد نظر آن‌ها باشند.  برخلاف بيش‌تر بدافزارهاي در‌پشتي كه از طريق آسيب‌پذيري‌هايي در سرور و سيستم‌عامل نصب مي‌شوند، هكرهاي كلاه سياه بدافزار CryptoPHP را از طريق پوسته‌ها و پلاگين‌هاي سرقت شده سيستم‌هاي مديريت محتوايي ‌مانند جوملا، وردپرس و دروپال توزيع مي‌كنند. اين نفوذگران پلاگين‌ها و پوسته‌ها را از سايت‌هاي مختلف سرقت مي‌كنند و منتظر مي‌مانند تا مديران سايت يا توسعه‌دهند‌گان به سراغ اين پلاگين‌ها و پوسته‌هاي آلوده بروند و آن‌ها را دانلود و نصب كنند. بدافزار CryptoPHP درون اين پلاگين‌ها و پوسته‌ها جاسازي شده است.

سرورهاي آلوده به CryptoPHP همانند يك بات‌نت عمل مي‌كنند و از طريق يك كانال ارتباطي رمزنگاري شده فرامين و دستورات را از سرور اصلي دريافت و اجرا مي‌كنند. اين بدافزار كه در كشور هلند شناسايي شده است، با كمك مركز بين‌المللي امنيت سايبر اين كشور و چند شركت تحقيقاتي و امنيتي ديگر مانند Abuse.ch، Shadowserver، Spamhaus و مؤسسه Fox-IT مهار شده‌ و سرورهاي آن‌ها تحت كنترل درآمدند. همچنين، ارتباط سرورهاي آلوده در سراسر جهان با سرورهاي اصلي قطع شده است تا امكان برقراري ارتباط مجدد و اجراي دستورات جديد وجود نداشته باشد.

محققان مؤسسه امنيتي Fox-IT مي‌گويند: «در مجموع، 23693 آدرس IP يكتا متصل به سرورهاي آلوده هكرها شناسايي شده است.» اين محققان اعتقاد دارند تعداد سرورهاي آلوده به بدافزار CryptoPHP بيش‌تر از اين تعداد است؛ زيرا برخي آدرس‌هاي IP يكتا ميان چند سرور به اشتراك گذاشته شده است. طبق گزارش اعلام شده، پنج كشوري كه بيش‌ترين آلود‌گي را دارند، به ترتيب امريكا (8657 آدرس IP)، آلمان (2877 آدرس IP)، فرانسه (1231 آدرس IP)، هلند (1008 آدرس IP) و تركيه (749 آدرس IP يكتا) معرفي شدند. همچنين، در گزارش مؤسسه Fox-IT آمده است هكرها هنگامي كه سرورها بار ترافيكي پاييني دارند، حملات خود را ترتيب مي‌دهند كه امكان نصب پلاگين‌ها و پوسته‌ها وجود داشته باشد و بتوانند امكانات جديد را راه‌اندازي كنند.

به علاوه، تلاش‌هايي ردگيري شده است كه اين هكرها در تلاش‌اند نسخه جديدي از اين بدافزار را بسازند و توزيع كنند تا از تشخيص و شناسايي و قطع ارتباط سرورهاي آلوده با سرور مركزي در امان باشند. اين محققان دو اسكريپت پايتون در برنامه GitHub منتشر كردند تا مديران و وب‌مسترهاي سايت‌ها با استفاده از آن‌ها بتوانند سرورهاي ميزباني سايت خود را اسكن و بدافزار CryptoPHP را شناسايي كنند. به‌علاوه، آن‌ها دستورالعمل پاك‌سازي سيستم و حذف اين بدافزار را در وبلاگ خود منتشر كردند، اما توصيه كردند بهتر است سيستم مديريت محتوايي كه آلوده شده است دوباره نصب شود تا امنيت كامل به‌دست آيد و كم‌ترين خطري متوجه سرور نباشد.