پس از کشف باتنت مخرب VPNFilter، محققان امنیتی باتنت بزرگ دیگری را شناسایی کردهاند که در حال حاضر بیش از ۴۰ هزار سرور، مودم و دستگاههای متصل به اینترنت متعلق به سازمانهای سراسر جهان را تحت تاثیر قرار داده است. این پویش که Operation Prowli نام دارد، با استفاده از تکنیکهای مختلف حمله از جمله بهرهبرداری از پیکربندیهای نامناسب، برای گسترش بدافزارها و تزریق کدهای مخرب به سرورها و وبسایتهای سراسر جهان بهکار میرود.
Operation Prowli که توسط گروه امنیتی GuardiCore کشف شده است، تا کنون بیش از ۴۰ هزار دستگاه متعلق به ۹ هزار حوزهی مختلف کسبوکار از جمله امور مالی، آموزشی و سازمانهای دولتی را تحت تاثیر قرار داده است. در ادامه فهرستی از دستگاهها و سرویسهای آلوده شده توسط بدافزار Prowli آمده است:
• سرورهای سیستمهای مدیریت محتوای محبوب دروپال و وردپرس
• سرورهای Joomla که افزونهی K2 را اجرا میکنند
• سرورهای پشتیبانگیری که نرمافزار HP Data Protector را اجرا میکنند
• مودمهای DSL
• سرورهای دارای یک پورت باز SSH
• نصبهای phpMyAdmin
• جعبههای NFS
• سرورهای دارای پورتهای باز SMB
• دستگاههای آسیبپذیر اینترنت اشیاء (IoT)
تمام اهداف فوق با بهرهبرداری از یک آسیبپذیری شناختهشده یا حدس زدن گواهینامهها آلوده شدهاند.
تزریق استخراجکنندهی ارز دیجیتال توسط بدافزار Prowli
از آنجایی که مهاجمان پشت حملهی Prowli، از دستگاهها و وبسایتهای آلوده برای استخراج ارز دیجیتال و یا اجرای یک اسکریپت که آنها را به وبسایتهای مخرب هدایت میکند، بهرهبرداری میکنند، محققان معتقدند که آنها بهجای ایدئولوژی یا اهداف جاسوسی، بیشتر بر روی کسب درآمد متمرکز هستند. به گفتهی محققان GuardiCore، بیشتر دستگاههای کشف شده، با استخراجکنندهی ارز دیجیتال مونرو (XMR) و کرم r2r2 آلوده شدهاند. کرم r2r2 یک بدافزار نوشته شده با Golang است که حملات جستجوی فراگیر SSH را بر دستگاههای آلوده انجام داده و به بدافزار Prowli اجازه میدهد تا دستگاههای بیشتری را آلوده نماید.
به عبارت بهتر، r2r2 بلوکهای آدرس IP را بهطور تصادفی ایجاد کرده و با استفاده از نام کاربری و گذرواژهها، برای راهاندازی حملات SSH تلاش میکند. پس از آنکه وارد دستگاه آسیبپذیر شد، مجموعهای از دستورات را بر روی دستگاه قربانی اجرا میکند. این دستورها، مسئولیت دانلود چندین رونوشت از کرم r2r2 برای معماریهای مختلف پردازنده، یک استخراجکنندهی ارز دیجیتال و یک فایل پیکربندی از یک سرور راه دور هاردکدشده را بر عهده دارند.
مهاجم کاربران را به نصب افزونههای مخرب ترغیب میکند
مهاجمان علاوه بر استخراجکنندهی ارز دیجیتال، از یک وبشِل متنباز شناختهشده به نام « WSO Web Shell» برای تغییر سرورهای آسیبدیده استفاده میکنند که در نهایت، به مهاجمان اجازه میدهد تا بازدیدکنندگان را به وبسایتهای جعلی توزیعکنندهی افزونههای مخرب هدایت کنند. گروه امنیتی GuardiCore این پویش را در چندین شبکه در سراسر جهان ردیابی کرده و ارتباط آن با صنایع مختلف را کشف کرده است. محققان اعلام کردند که در طول یک دورهی ۳ هفتهای، روزانه دهها مورد از چنین حملاتی را در بیش از ۱۸۰ IP کشورها و سازمانهای مختلف مشاهده کردهاند.
چگونه از دستگاههای خود در برابر حملات بدافزار Prowli محافظت کنیم؟
از آنجایی که مهاجمان بهطور همزمان از آسیبپذیریهای شناختهشده و حدس زدن گواهینامهها برای هدف قرار دادن دستگاهها استفاده میکنند، کاربران باید مطمئن شوند که سیستمهای آنها بهروز بوده و وصله شده باشد و همیشه از گذرواژههای قوی برای دستگاههای خود استفاده کنند. علاوه بر این، کاربران باید جدا کردن سیستمهای آسیبپذیر یا ناامن از سایر بخشهای شبکه و قفل کردن سیستمها را نیز در نظر بگیرند. اواخر ماه گذشته نیز یک باتنت مخرب بزرگ به نام VPNFilter، تعداد ۵۰۰ هزار دستگاه مسیریاب و ذخیرهساز تولیدکنندگان مختلف را در ۵۴ کشور با بدافزار آلوده کرده و توانایی انجام عملیاتهای مخرب سایبری، نظارتی و حملهی مرد میانی را دارا بود.