روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛پس از کشف بات نت VPNFilter که در چند روز پیش به آن اشاره کردیم، محققان بات نتی غول آسای دیگری را کشف کرده اند که بیش از 40.0000 سرور، موردم و دستگاه های اینترنت اشیاء متعلق به بسیاری از سازمان ها را در سراسر جهان به خطر انداخته است.
این گروه مخرب که Operation Prowli نام گرفته است، با پخش کردن بدافزار و تزریق کدهای مخرب به کنترل سرورها و وب سایت ها در سراسر جهان پرداخته است و توانسته است روش های مختلف حمله را به دست گیرد. روش های به کار گرفته در این حمله اکسپلویت ها، brute-forcing پسوردها و اکسلویت از تنظیمات ضعیف بوده است.
این کمپین مخرب توسط محققان تیم GuardiCore شناسایی شده است و در حال حاضر به آلودگی بیش از 40.000 دستگاه در بین 9.000 شرکت با دامنه های مختلف پرداخته است که این شرکت ها سازمان های دولتی، اموزشی و سرمایه گذاری را شامل می شوند.
در اینجا لیستی از دستگاه ها و سرویس های آلوده شده توسط بدافزار Prowli ذکر شده است:
- سرورهای Drupal و WordPress CMS که میزبانی وب سایت های مشهور را به عهده دارند.
- Jumla ! سروهایی که از افزونه های K2 استفاده می کنند.
- سرورهای پشتیبان که نرم افزار HP Data Protector را اجرا می کنند.
- مودم های DSL
- سرورهای با یک پورت باز SSH
- phpMyAdmin
- جعبه های NFS
- سرورهای با پورتهای SMB بدون محافظ
- دستگاه های اینترنت اشیاء آسیب پذیر
تمامی موارد بالا از طریق یک آسیب پذیری شناخته شده یا حدس اطلاعات ورودی دچار آلودگی شده اند.
Prowli یک ماینر کریپتوکارنسی را تزریق می کند
به علت اینکه مجرمان پشت این حمله از دستگاه های آلوده و وب سایت ها برای عملیات ماینینگ و یا اجرای اسکریپت هایی که قربانیان را به سمت وب اسیت های مخرب سوق می دهند استفاده می کنند محققان بر این باورند که هدف مجرمان پشت این حمله برای کسب درآمد بیشتر است و موارد جاسوسی و چیزهای دیگر در میان نیست.
طبق گفته ی محققان دستگاه ها با ماینرهای کریپتوکارنسی Monero آلوده شده اند و کرمی با نام "r2r2" بدافزاری نوشته شده است که در Golang است و حملات brute-force از نوع SSH را بر روی دستگاه های آلوده اجرا می کند و اجازه می دهد تا بدافزار کنترل دستگاه های جدید را بر دست بگیرد.
اگر بخواهیم ساده تر بیان کنیم کرم "r2r2" به طور کاملا تصادفی آدرس آی پی را ایجاد می کند و به طور تکراری تلاش می کند تا بتواند ورودی های SSH را با استفاده از نام کاربری و پسورد brute force کند. پس از از بین بردن کلمه ی عبور بدافزار دستورات را بر روی سیستم قربانی اجرا می کند. این دستورات به منظور بارگیری چندین کپی از کرن برای معماری های متفاوت CPU، ماینرکریپتوکارسی و یک فایل کانفیگ شده از یک سرور hard-code از راه دور است.
مجرمان پشت این حمله کاربران را به نصب افزونه های مخرب تحریک می کنند
اما تمام فعالیت های مخرب مجرمان به ماینرها محدود نمی شود. مجرمان همچنین از یک اپن سورس webshell با نام "WSO Web Shell" برای تغییر سرورهای آلوده استفاده می کنند. با انجام این کار مجرمان قادر خواهند بود که بازدید کنندگان وب سایت ها را به وب سایت های جعلی که افزونه های مخرب را گسترش می دهند، سوق دهند.
تیم امنیتی GuardiCore این کمپین مخرب را در چندین شبکه در سراسر جهان شناسایی و کمپین Prowli را در صنایع گوناگون کشف کرد.
محققان همچنین گفتند " طی سه هفته ما بیش از ده ها نمونه از این حملات را ا طریق بیش از 180 آی پی از کشورهای مختلف و سازمان ها شناسایی کردیم. این حملات باعث شد که ما زیرساخت های مجرمان را بررسی و یک عملیات وسیع در حمله را کشف کنیم."
چگونه از دستگاه های خود در برابر این بدافزار محافظت کنیم؟
به علت اینکه مجرمان در این حمله از چندین آسیب پذیری شناخته شده و حدس اطلاعات ورودی کاربران استفاده کرده اند پس کاربران بایستی از آپدیت بودن سیستم های خود و پچ آن ها همچنین استفاده از کلمات عبور قوی اطمینان حاصل نمایند.
ضمن اینکه کاربران همیشه بایستی از قفل بودن سیستم های خود اطمینان حاص کنند، سیستم های آسیب ذیر به گونه ای باشند که به شبکه متصل نباشند یا جدا از آن باشند.
منبع: کسپرسکی آنلاین(ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.