هجوم بد‌افزارهای درپشتی به سرورها

بیش از 23 هزار سرور آلوده به در‌پشتی (Backdoor) به نام CryptoPHP کشف شدند. این بدافزار از طریق اتصال و همراه شدن با تم‌ها و پلاگین‌های سیستم‌های مدیریت محتوای وب محبوب به سرورها نفوذ و دربردارنده کدهای اسکریپت مخربی است که امکان حملات از راه دور و اجرای کدهای خوداجرا روی وب‌سرور را فراهم می‌کند.

در گام بعدی، محتوای آلوده و مخرب را روی سایت‌هایی می‌فرستد که میزبانی می‌شوند. براساس گزارش شرکت امنیتی Fox-IT، این بدافزار بیش‌تر توسط هکرهای کلاه سیاهی مورد استفاده قرار می‌گیرد که مشغول بهینه‌سازی موتورهای جست‌وجو هستند. عملیاتی که این هکرها انجام می‌دهند به این صورت است که کلمات کلیدی و صفحات آلوده و خوداجرایی را روی سایت‌های میزبان در معرض خطر تزریق می‌کنند تا نتایج جست‌وجو و رتبه‌بندی آن‌ها بالاتر رود و سیستم‌های مدیریت محتوای آلوده شامل محتوا و اطلاعات مورد نظر آن‌ها باشند.  برخلاف بیش‌تر بدافزارهای در‌پشتی که از طریق آسیب‌پذیری‌هایی در سرور و سیستم‌عامل نصب می‌شوند، هکرهای کلاه سیاه بدافزار CryptoPHP را از طریق پوسته‌ها و پلاگین‌های سرقت شده سیستم‌های مدیریت محتوایی ‌مانند جوملا، وردپرس و دروپال توزیع می‌کنند. این نفوذگران پلاگین‌ها و پوسته‌ها را از سایت‌های مختلف سرقت می‌کنند و منتظر می‌مانند تا مدیران سایت یا توسعه‌دهند‌گان به سراغ این پلاگین‌ها و پوسته‌های آلوده بروند و آن‌ها را دانلود و نصب کنند. بدافزار CryptoPHP درون این پلاگین‌ها و پوسته‌ها جاسازی شده است.

سرورهای آلوده به CryptoPHP همانند یک بات‌نت عمل می‌کنند و از طریق یک کانال ارتباطی رمزنگاری شده فرامین و دستورات را از سرور اصلی دریافت و اجرا می‌کنند. این بدافزار که در کشور هلند شناسایی شده است، با کمک مرکز بین‌المللی امنیت سایبر این کشور و چند شرکت تحقیقاتی و امنیتی دیگر مانند Abuse.ch، Shadowserver، Spamhaus و مؤسسه Fox-IT مهار شده‌ و سرورهای آن‌ها تحت کنترل درآمدند. همچنین، ارتباط سرورهای آلوده در سراسر جهان با سرورهای اصلی قطع شده است تا امکان برقراری ارتباط مجدد و اجرای دستورات جدید وجود نداشته باشد. 

محققان مؤسسه امنیتی Fox-IT می‌گویند: «در مجموع، 23693 آدرس IP یکتا متصل به سرورهای آلوده هکرها شناسایی شده است.» این محققان اعتقاد دارند تعداد سرورهای آلوده به بدافزار CryptoPHP بیش‌تر از این تعداد است؛ زیرا برخی آدرس‌های IP یکتا میان چند سرور به اشتراک گذاشته شده است. طبق گزارش اعلام شده، پنج کشوری که بیش‌ترین آلود‌گی را دارند، به ترتیب امریکا (8657 آدرس IP)، آلمان (2877 آدرس IP)، فرانسه (1231 آدرس IP)، هلند (1008 آدرس IP) و ترکیه (749 آدرس IP یکتا) معرفی شدند. همچنین، در گزارش مؤسسه Fox-IT آمده است هکرها هنگامی که سرورها بار ترافیکی پایینی دارند، حملات خود را ترتیب می‌دهند که امکان نصب پلاگین‌ها و پوسته‌ها وجود داشته باشد و بتوانند امکانات جدید را راه‌اندازی کنند.

به علاوه، تلاش‌هایی ردگیری شده است که این هکرها در تلاش‌اند نسخه جدیدی از این بدافزار را بسازند و توزیع کنند تا از تشخیص و شناسایی و قطع ارتباط سرورهای آلوده با سرور مرکزی در امان باشند. این محققان دو اسکریپت پایتون در برنامه GitHub منتشر کردند تا مدیران و وب‌مسترهای سایت‌ها با استفاده از آن‌ها بتوانند سرورهای میزبانی سایت خود را اسکن و بدافزار CryptoPHP را شناسایی کنند. به‌علاوه، آن‌ها دستورالعمل پاک‌سازی سیستم و حذف این بدافزار را در وبلاگ خود منتشر کردند، اما توصیه کردند بهتر است سیستم مدیریت محتوایی که آلوده شده است دوباره نصب شود تا امنیت کامل به‌دست آید و کم‌ترین خطری متوجه سرور نباشد.