مردی آلمانی پشت بات‌نت وردپرس کنترل‌شده با IRC است!

به‌احتمال‌ زیاد یک مرد آلمانی پشت مجموعه وبگاه‌های وردپرس آلوده‌ای است که درون یک بات‌نت به یکدیگر متصل‌اند و با کمک یک کانال IRC پنهان کنترل می‌شوند.

در حال حاضر مشخص نیست که این وبگاه‌ها چگونه آلوده شده‌اند. طبق گزارش WordFence که یک شرکت تأمین‌کننده محصولات امنیتی برای وردپرس است، نفوذگر با افزودن یک پرونده PHP با ۲۵۰۰۰ خط کد به‌تمامی وبگاه‌ها سعی در دسترسی دارد.

این پرونده یک مشتری بات است که به یک کارگزار IRC وصل می‌شود و به دستورالعمل‌های گفته‌شده در پیام اصلی گوش می‌دهد. هر زمان که صاحب بات‌نت دستوری را وارد و یا حذف می‌کند، همه وبگاه‌های آلوده نیز آن را اجرا می‌کنند.

با اینکه WordFence جزئیات توانایی‌های فنی این مشتری بات را منتشر نکرده است، اما از چنین بات‌نت‌هایی می‌توان برای راه‌اندازی حملات DDoS، حملات جستجوی فراگیر، تزریق هرزنامه SEO روی وبگاه‌های آلوده یا ارسال هرزنامه از کارگزارهای اصلی آلوده، استفاده کرد.

راز چهارساله حل شد!

پرونده مشتری بات ۲۵۰۰۰ شامل جزئیات پیکربندی ازجمله آدرس IP کارگزار IRS، درگاه و نام کانال (#۱x۳۳x۷) است.

محققان WordFence پس از دسترسی به کانال IRC، سعی کردند به یک راز طولانی‌مدت پی ببرند: کلمه عبور بات‌نت.

این بات‌نت خاص با یک کلمه عبور درهم‌سازی شده محافظت شده بود:

۲cbd۶۲e۶۷۹d۸۹acf۷f۱bfc۱۴be۰۸b۰۴۵ که به صاحب بات‌نت اجازه می‌داد هر دستور گذاشته‌شده درون چت روم IRC را شناسایی کند.

صاحبان وبگاه‌ها وقتی متوجه می‌شدند که به وبگاه‌هایشان رخنه شده است درخواست کمک برای شکست این کلمه عبور می‌کردند اما چنین چیزی امکان‌پذیر نبود. با جستجو در گوگل مشخص می‌شود که این درخواست به دسامبر ۲۰۱۲ باز می‌گردند یعنی چهار سال است که این بات‌نت پابرجاست.

چون محققان به پنجره اصلی IRC دست یافته‌اند، دیدند که مهاجم دستوراتی را منتشر و با کلمه عبوری که ساده و بدون رمزگذاری است آن‌ها را شناسایی می‌کند:

[۱x۳۳x۷.۰wnz-your.************[REDACTED

دستگیری اپراتور بات‌نت

محققان در چت روم دیگری فهرستی از وبگاه‌های آلوده پیدا کردند که به‌عنوان کاربران چت روم نشان داده می‌شوند و همچنین متوجه جزئیاتی فنی در مورد بستر آلوده به‌عنوان نام کاربری شدند.

این فهرست شامل هر چیزی از کارگزارهای Apache روی FreeBSD است تا موارد معدودی از کارگزار ویندوز ۲۰۱۲ یا ویندوز ۸. در فهرست کاربری نیز دو حساب متعلق به صاحب بات‌نت پیدا کردند: LND-Bloodman و da-real-LND.چت روم‌های IRC به اعضا اجازه می‌دهد دستورات «whoid» را اجرا کنند که جزئیاتی در مورد کاربران دیگر نشان می‌دهند. اجرای درخواست whois برای حساب‌های این شخص کلاه‌بردار دو آدرس IP و یک رایانامه حاوی نام کوچک وی را آشکار کرد.

اپراتور بات‌نت آلمانی است!

این آدرس IP کشف‌شده متعلق به آلمان است. این مهاجم از حساب Bloodman و نام کانال IRC یعنی ۱x۳۳x۷ به‌عنوان یک نام کاربری جایگزین استفاده می‌کند و این نشان‌دهنده داشتن حساب‌های متعدد روی توییتر، یوتیوب و YouNow است. همین حساب‌ها تائید می‌کند که کلاه‌بردار یک شخص آلمانی‌زبان است.

مدرک جرم بیشتری از وی روی کانال یوتیوب وی پیدا شده است که در آن ویدئویی منتشر کرده و در مورد بات‌نتش دروغ‌هایی گفته است. این ویدئو به زندگی شخصی وی با نام کاربری مورداستفاده در کد منبع پرونده مشتری بات‌نت لینک شده است.

WordFence با داشتن کلمه عبور بات‌نت و هویت واقعی او، می‌تواند بات‌نت وی را منهدم و جرائم وی را به مقامات آلمانی گزارش دهند.

سخنگوی WordFence روی وبگاهش در بخش نظرات نوشته است که مقامات را از حضور این بات‌نت مطلع نکرده‌اند چراکه این کار بسیار وقت‌گیر است.

علاوه بر این، قانون کلاه‌برداری‌های اینترنتی (CFAA) نیز از منهدم کردن بات‌نت توسط این شرکت بدون اجازه از مقامات جلوگیری می‌کند بنابراین در حال حاضر این بات‌نت همچنان فعال است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.