سوء استفاده ربات‌های مبتنی بر پایتون از سرورهای PHP!

تحقیقات اخیر محققان امنیت سایبری Imperva، منجر به شناسایی یک کمپین سایبری پیچیده شده است که زیرساخت‌های وب اندونزی، به ویژه اپلیکیشن‌های مبتنی بر PHP و پلتفرم‌های Moodle LMS را هدف قرار می‌دهد. این کمپین که در بحبوحه سرکوب قمار آنلاین توسط اندونزی پدیدار شده است، شامل ربات‌های مبتنی بر پایتون می‌باشد که ابزار شبکه GSocket را از طریق Shell‌های وب موجود مستقر می‌کند.

قمار به طور رسمی از سال ۱۹۷۴ در اندونزی غیرقانونی است. با این حال، رشد سریع پلتفرم‌های قمار آنلاین در سال‌های اخیر شدت گرفته است. تغییر فناوری باعث ایجاد شکاف‌های اجرایی شده است و دولت اندونزی را وادار به تشدید تلاش‌های خود برای مبارزه با قمار آنلاین غیرقانونی کرده است. سرکوب‌های اخیر این دولت به دنبال ایجاد اختلال در اپراتورها و پلتفرم‌های پشت این فعالیت‌ها بوده است، زیرا مقامات بر پیامدهای قانونی، اجتماعی و اخلاقی قمار در این کشور عمدتاً مسلمان تأکید می‌کنند.

دَنیل جانستون، محقق Imperva اذعان داشت که طی دو ماه گذشته، حجم قابل توجهی از حملات ربات‌های مبتنی بر پایتون مشاهده کرده است که نشان ‌دهنده تلاشی هماهنگ برای بهره‌برداری از هزاران اپلیکیشن وب است. این کمپین، سرورهای وبی را هدف قرار می‌دهد که اپلیکیشن‌های مبتنی بر PHP را برای ترویج پلتفرم‌های قمار در اندونزی اجرا می‌کنند. به نظر می‌رسد این حملات با گسترش سایت‌های قمار مرتبط می‌باشند که احتمالاً پاسخی به نظارت شدید دولت اندونزی است.

میلیون‌ها درخواست از یک کلاینت پایتون تاکنون شناسایی شده است که شامل دستوری برای نصب GSocket  (معروف به  Global Socket) می‌باشد؛ ابزار منبع بازی که می‌تواند برای ایجاد یک کانال ارتباطی بین دو ماشین بدون توجه به محیط شبکه به کار گرفته شود.

شایان ذکر است که GSocket در ماه‌های اخیر در بسیاری از عملیات‌های سرقت ارز دیجیتال مورد استفاده قرار گرفته است و حتی از دسترسی ارائه شده توسط ابزار برای درج کد مخرب جاوا اسکریپت در سایت‌ها به منظور سرقت اطلاعات پرداخت استفاده شده است.

همانطور که در ابتدا اشاره شد، زنجیره حمله شامل تلاش‌هایی برای استقرار GSocket با استفاده از shellهای وب از پیش نصب شده روی سرورهای تحت نفوذ است. اکثر حملات به سرورهایی که یک سیستم مدیریت یادگیری (LMS)  محبوب به نام Moodle را اجرا می کنند، اختصاص دارند.

یکی از جنبه‌های قابل توجه این حملات اضافه شدن به فایل‌های سیستمی bashrc وcrontab  است تا اطمینان حاصل شود که GSocket به طور فعال حتی پس از حذف shellهای وب اجرا خواهد شد.

مشخص شده است که دسترسی ارائه شده توسط GSocket به این سرورهای هدف برای ارائه فایل‌های PHP می‌‌باشد که حاوی محتوای HTML هستند و به سرویس قمار آنلاینی اشاره دارند که بطور ‌ویژه کاربران اندونزیایی را هدف قرار می‌دهند.

جالب است بدانید که در بالای هر فایل PHP کد PHP طراحی شده است تا فقط به ربات‌های جستجوگر اجازه دسترسی به صفحه را بدهد، اما بازدیدکنندگان معمولی سایت به دامنه دیگری هدایت می‌شوند. دلیل مهاجمان از این کار، آن بود که کاربرانی را که در جستجوی سرویس‌های قمار شناخته شده و معروف هستند، مورد هدف قرار دهند و آنها را به دامنه دیگری هدایت کنند. به گفته Imperva ، این تغییر مسیر منجر به هدایت شدن کاربر به ‘pktoto[.]cc’، یک سایت قمار شناخته شده اندونزیایی شده است.

به منظور مقابله با چنین حملاتی توصیه شده است که صاحبان سایت‌های وردپرس، افزونه‌های خود را بصورت منظم به روزرسانی کنند، دامنه‌های مخرب را با استفاده از فایروال مسدود نمایند، اکانت‌های مدیریتی مشکوک یا افزونه‌ها را اسکن و آنها را حذف کنند.

این نوع حملات نشان‌ دهنده پیشرفت‌های پیچیده در دنیای جرایم سایبری هستند. هکرها از ربات‌های پیشرفته برای سوءاستفاده از سرورهای آسیب ‌پذیر و تقویت فعالیت‌های غیرقانونی مانند قمار استفاده می‌کنند. بنابراین، اتخاذ تدابیر امنیتی برای جلوگیری از سوءاستفاده از سرورهای PHP ضروری است.

منابع