آلوده شدن بيش از 23000 سرور وب به CryptoPHP

شماره: IRCNE2014112386
تاريخ: 8/9/93

بيش از 23000 وب سرور توسط يك backdoor به نام CryptoPHP كه به تم‌ها و پلاگين‌هاي تقلبي سيستم‌هاي مديريت محتواي مشهور چسبيده است آلوده شده‌اند.
CryptoPHP يك اسكريپت خرابكار است كه حملات راه دور را با قابليت اجراي كد خرابكار روي سرورهاي وب و تزريق محتواي خرابكارانه به وب‌سايت‌هاي ميزباني شده بر روي آنها فراهم مي‌كند.
به گزارش شركت هلندي Fox-IT كه هفته گذشته گزارشي در مورد اين تهديد منتشر كرد، اين backdoor ابتدا براي بهينه سازي موتورهاي جستجو به شيوه كلاه سياه‌ها مورد استفاده قرار گرفت. اين كار شامل تزريق كلمات كليدي و صفحات جعلي به سايت‌هاي مورد سوء استفاده براي سرقت رتبه آنها در موتورهاي جستجو و قرار دادن محتواي خرابكارانه در رده بالاتري در نتايج جستجوي موتورهاي جستجو مي‌باشد.
بر خلاف اغلب backdoor هاي وب‌سايت، CryptoPHP با سوء استفاده از آسيب‌پذيري‌ها نصب نمي‌شود. بلكه مهاجمان نسخه‌هاي جعلي پلاگين‌ها و تم‌هاي جعلي جوملا، وردپرس و دروپال را از طريق چندين سايت منتشر كرده و منتظر مي‌مانند تا مديران سايت‌ها آنها را بر روي سايت‌هاي خود دانلود و نصب نمايند. اين پلاگين‌ها و تم‌هاي جعلي حاوي CryptoPHP هستند.
وب‌سرورهاي آلوده با CryptoPHP مانند يك بات‌نت عمل مي‌كنند. آنها با استفاده از يك كانال ارتباطي رمزشده به سرورهاي دستور و كنترل هدايت شده توسط مهاجمان متصل شده و به دستورات آنها گوش مي‌كنند.
Fox-IT با كمك مركز امنيت سايبري ملي دولت هلند و چند سازمان مبارزه با جرايم سايبري، كنترل دامنه‌هاي دستور و كنترل CryptoPHP را در اختيار گرفته و آنها را به سرورهايي تحت كنترل خود براي جمع‌آوري آمار هدايت كرده است.
محققان Fox-IT روز چهارشنبه اعلام كردند كه در مجموع 23693 آدرس آي‌پي به اين سرورها متصل شده‌‎اند. البته تعداد وب‌سايت‌هاي تحت تأثير احتمالاً بيشتز است، چرا كه برخي از اين آدرس‌هاي آي‌پي به سرورهاي ميزباني وب اشتراكي متعلق هستند كه بيش از يك سايت آلوده دارند.
پنج كشور برتر در مورد آلودگي CryptoPHP عبارتند از ايالات متحده آمريكا (با 8657 آدرس آي‌پي)، آلمان (با 2877 آدرس آي‌پي)، فرانسه (با 1231 آدرس آي‌پي)، هلند (با 1008 آدرس آي‌پي) و تركيه (با 749 آدرس آي‌پي).
از آنجا كه Fox-IT گزارش CryptoPHP خود را هفته گذشته منتشر كرد، مهاجمان وب‌سايت‌هايي را كه ميزبان پلاگين‌ها و تم‌هاي جعلي بودند از كار انداخته و وب‌سايت‌هاي جديدي راه‌اندازي كرده‌اند. آنها احتمالاً جهت جلوگيري از شناسايي، نسخه جديدي از اين backdoor نيز ارائه كرده‌اند.
محققان Fox-IT دو اسكريپت Python روي GitHub عرضه كرده‌اند كه مديران سايت‌ها مي‌توانند جهت اسكن سرورها و سايت‌ها در مورد آلودگي CryptoPHP از آنها استفاده نمايند. آنها همچنين دستورات حذف اين backdoor را در بلاگ خود منتشر كرده‌اند، اما تأكيد كرده‌اند كه نهايتاً بهتر است سيستم مديريت محتواي آلوده را به كلي پاك كنيد.