بدافزار Prowli، سرورها، مسیریاب‌ها و دستگاه‌های اینترنت اشیاء را هدف قرار داده است

پس از کشف بات‌نت مخرب VPNFilter، محققان امنیتی بات‌نت بزرگ دیگری را شناسایی کرده‌اند که در حال حاضر بیش از ۴۰ هزار سرور، مودم و دستگاه‌های متصل به اینترنت متعلق به سازمان‌های سراسر جهان را تحت تاثیر قرار داده است. این پویش که Operation Prowli نام دارد، با استفاده از تکنیک‌های مختلف حمله از جمله بهره‌برداری از پیکربندی‌های نامناسب، برای گسترش بدافزارها و تزریق کدهای مخرب به سرورها و وب‌سایت‌های سراسر جهان به‌کار می‌رود.

Operation Prowli که توسط گروه امنیتی GuardiCore کشف شده است، تا کنون بیش از ۴۰ هزار دستگاه متعلق به ۹ هزار حوزه‌ی مختلف کسب‌وکار از جمله امور مالی، آموزشی و سازمان‌های دولتی را تحت تاثیر قرار داده است. در ادامه فهرستی از دستگاه‌ها و سرویس‌های آلوده شده توسط بدافزار Prowli آمده است:
•    سرورهای سیستم‌های مدیریت محتوای محبوب دروپال و وردپرس
•    سرورهای Joomla که افزونه‌ی K2 را اجرا می‌کنند
•    سرورهای پشتیبان‌گیری که نرم‌افزار HP Data Protector را اجرا می‌کنند 
•    مودم‌های DSL
•    سرورهای دارای یک پورت باز SSH
•    نصب‌های phpMyAdmin
•    جعبه‌های NFS
•    سرورهای دارای پورت‌های باز SMB
•    دستگاه‌های آسیب‌پذیر اینترنت اشیاء (IoT)
تمام اهداف فوق با بهره‌برداری از یک آسیب‌پذیری شناخته‌شده یا حدس زدن گواهی‌نامه‌ها آلوده شده‌اند.

تزریق استخراج‌کننده‌ی ارز دیجیتال توسط بدافزار Prowli
از آنجایی که مهاجمان پشت حمله‌ی Prowli، از دستگاه‌ها و وب‌سایت‌های آلوده برای استخراج ارز دیجیتال و یا اجرای یک اسکریپت که آن‌ها را به وب‌سایت‌های مخرب هدایت می‌کند، بهره‌برداری می‌کنند، محققان معتقدند که آن‌ها به‌جای ایدئولوژی یا اهداف جاسوسی، بیشتر بر روی کسب درآمد متمرکز هستند. به گفته‌ی محققان GuardiCore، بیشتر دستگاه‌های کشف شده، با استخراج‌کننده‌ی ارز دیجیتال مونرو (XMR) و کرم r2r2 آلوده شده‌اند. کرم r2r2 یک بدافزار نوشته شده با Golang است که حملات جستجوی فراگیر SSH را بر دستگاه‌های آلوده انجام داده و به بدافزار Prowli اجازه می‌دهد تا دستگاه‌های بیشتری را آلوده نماید.

به عبارت بهتر، r2r2 بلوک‌های آدرس IP را به‌طور تصادفی ایجاد کرده و با استفاده از نام کاربری و گذرواژه‌ها، برای راه‌اندازی حملات SSH تلاش می‌کند. پس از آن‌که وارد دستگاه آسیب‌پذیر شد، مجموعه‌ای از دستورات را بر روی دستگاه قربانی اجرا می‌کند. این دستورها، مسئولیت دانلود چندین رونوشت از کرم r2r2 برای معماری‌های مختلف پردازنده، یک استخراج‌کننده‌ی ارز دیجیتال و یک فایل پیکربندی از یک سرور راه دور هاردکدشده را بر عهده دارند.

مهاجم کاربران را به نصب افزونه‌های مخرب ترغیب می‌کند
مهاجمان علاوه بر استخراج‌کننده‌ی ارز دیجیتال، از یک وب‌شِل متن‌باز شناخته‌شده به نام « WSO Web Shell» برای تغییر سرورهای آسیب‌دیده استفاده می‌کنند که در نهایت، به مهاجمان اجازه می‌دهد تا بازدیدکنندگان را به وب‌سایت‌های جعلی توزیع‌کننده‌ی افزونه‌های مخرب هدایت کنند. گروه امنیتی GuardiCore این پویش را در چندین شبکه در سراسر جهان ردیابی کرده و ارتباط آن با صنایع مختلف را کشف کرده است. محققان اعلام کردند که در طول یک دوره‌ی ۳ هفته‌ای، روزانه ده‌ها مورد از چنین حملاتی را در بیش از ۱۸۰ IP کشورها و سازمان‌های مختلف مشاهده کرده‌اند.

چگونه از دستگاه‌های خود در برابر حملات بدافزار Prowli محافظت کنیم؟
از آنجایی که مهاجمان به‌طور همزمان از آسیب‌پذیری‌های شناخته‌شده و حدس زدن گواهی‌نامه‌ها برای هدف قرار دادن دستگاه‌ها استفاده می‌کنند، کاربران باید مطمئن شوند که سیستم‌های آن‌ها به‌روز بوده و وصله‌ شده باشد و همیشه از گذرواژه‌های قوی برای دستگاه‌های خود استفاده کنند. علاوه بر این، کاربران باید جدا کردن سیستم‌های آسیب‌پذیر یا ناامن از سایر بخش‌های شبکه و قفل کردن سیستم‌ها را نیز در نظر بگیرند. اواخر ماه گذشته نیز یک بات‌نت مخرب بزرگ به نام VPNFilter، تعداد ۵۰۰ هزار دستگاه مسیریاب و ذخیره‌ساز تولیدکنندگان مختلف را در ۵۴ کشور با بدافزار آلوده کرده و توانایی انجام عملیات‌های مخرب سایبری، نظارتی و حمله‌ی مرد میانی را دارا بود.