هکرها برای استخراج ارز دیجیتال به سراغ وب‌سرور شما هم می‌آیند!

هکرها به دنبال آن هستند تا از طریق یک بات‌نت و با سوء استفاده از سرورها ارز دیجیتال استخراج کنند. کارشناسان امنیتی در گزارش خود اعلام کرده‌اند که بدافزار جدیدی به نام RubyMiner را کشف کرده‌اند. این بدافزار در اواخر ژانویه سعی کرده بود از طریق پیاده‌سازی یک حمله بزرگ و هماهنگ شده، سرورهای وب مستقر در ایالات متحده، آلمان، انگلستان، نرژو و سوئد را هدف قرار دهد.

به نظر می‌رسد این حمله از جانب یک سازمان هکری به وقوع پیوسته است، به واسطه آن‌که بدافزار فوق در نظر داشت در یک روز نزدیک به یک سوم شبکه جهانی را تحت تاثیر خود قرار داده و به سوء استفاده از سرورها بپردازد.

این بدافزار به گونه‌ای طراحی شده است که سرورهای لینوکسی و ویندوزی را هدف قرار دهد.

بدافزار RubyMiner به منظور نصب یک استخراج‌کننده ارز دیجیتال، از آسیب‌پذیری‌ ثبت شده به شماره CVE-2013-0156 که در خلال سال‌های ۲۰۱۲ و ۲۰۱۳ میلادی شناسایی شد بهره برده است. (بعضی از شرکت‌ها وصله مربوطه را روی سرورهای خود نصب نکرده‌اند)

جالب آن‌که هکرها در ‌این راه هیچ‌گونه تلاشی نکرده‌اند تا فعالیت‌های خود را پنهان کنند، بلکه به دنبال آن بودند تا در اسرع وقت به حجم بسیار بالایی از سرورهای وب مبتنی بر پروتکل انتقال ابرمتن و آسیب‌پذیر حمله کنند. بدافزار فوق که در قالب یک کمپین مخرب عمل می‌کند، آسیب‌پذیری‌های موجود در نرم‌افزارهای Ruby On Rails، IIS مایکروسافت و پی‌اچ‌پی را هدف قرار می‌دهد.

در این حمله هکرها موفق شدند در یک روز ۷۰۰ سرور که در کشورهای مختلف قرار داشتند را مورد حمله قرار دهند.

در حمله‌ای که Ruby On Rails را هدف قرار داده بود، هکرها از یک آسیب‌پذیری شناسایی شده (که هنوز ترمیم نشده بود) برای اجرای کدهای راه دور خود استفاده کردند. در این حمله هکرها یک بارداده (payload) کدگذاری شده در قالب base64 را همراه با دستور POST توزیع کرده و در ادامه مفسر زبان روبی که روی سرور هدف قرار داشت را فریب دهند، تا درخواست آن‌ها را اجرا کند.

این بار داده با هدف اضافه کردن یک کرون‌جاب (cronjob) به سرور که قادر بود در هر ساعت اجرا شده و فایل robots.txt را دانلود کند، به سرور تزریق می‌شد.

فایل فوق شامل یک اسکریپت شل بود که به منظور واکشی و در نهایت استخراج‌ ارز دیجیتال به کار گرفته می‌شد. هکرها از آن جهت از فایل robots.txt استفاده کرده بودند، تا هر زمان نیاز داشتند فرآیند استخراج روی سرور را خاتمه داده و به سرعت تغییرات مربوطه را روی سرور آسیب‌پذیر به مرحله اجرا در آورند.

دامنه lochjol.com از جمله دامنه‌هایی است که در ارتباط با این کمپین هکری شناسایی شده است. دامنه‌ای که پیش از این در سال ۲۰۱۳ میلادی نیز به کار گرفته شده بود.

کارشناسان امنیتی می‌گویند هکرها حتی به سراغ سرورهای بانک‌اطلاعاتی نیز رفته‌اند تا نه تنها از این سرورها به منظور استخراج ارز دیجیتال استفاده کنند، بلکه داده‌های حساس درون این سرورها را جمع‌آوری کرده و در نهایت از این سرورها بات‌نت قدرتمندی به وجود آورند تا برای حمله منع سرویس انکار شده از آن‌ها استفاده کنند.

هکرها برای دسترسی به سرورهای بانک‌اطلاعاتی از حملات جست‌وجوی فراگیر و در ادامه اجرای دستورات SQL به منظور دسترسی مستمر و ممانعت از شناسایی شدن از طریق فایل‌های گزارش استفاده کرده‌اند. در این کمپین نیز هکرها از سه بردار حمله Hex، Hanako و Taylor، برای حمله به سرورهای Microsoft SQL و MySQL استفاده کرده‌اند؛

حمله Hex به منظور استخراج ارز دیجیتال و تزریق تروجان‌های دسترسی از راه دور به سامانه‌های آلوده، حمله Taylor به منظور نصب یک روباینده کلیدها (key-logger) و نصب یک درب پشتی و از حمله Hanako به منظور بهره‌برداری از دستگاه‌های آلوده برای ساخت یک بات‌نت استفاده کرده‌اند.