Một backdoor bí ẩn đã được sử dụng để lưu lượng truy cập đến các trang web độc hại có thể sẽ lan rộng hơn so với suy nghĩ trước đây, các nhà nghiên cứu bảo mật cho biết, và nó ảnh hưởng đến các máy chủ web nhiều hơn chỉ là Apache. Các phần mềm độc hại - đã được gọi là "Linux / Cdorked.A" hoặc "Darkleech," tùy người mà bạn yêu cầu - lần đầu tiên được phát hiện trong tự nhiên vào cuối tháng Tư, khi người ta nghĩ rằng có hàng trăm bị nhiễm các trang web chạy trên máy chủ Apache .
Gần đây hơn, tuy nhiên, các nhà nghiên cứu cũng tìm thấy trường hợp của Lighttpd và Nginx daemon máy chủ web đã được sửa đổi tương tự như bao gồm mã Cdorked. Các máy chủ bị tổn hại chuyển các yêu cầu HTTP đến với các trang web lưu trữ các bộ khai thác Blackhole nổi tiếng nhưng lại không có dấu vết trong nhật ký máy chủ để cảnh báo cho quản trị viên của các hoạt động nguy hiểm. Tất cả các dữ liệu liên quan đến cửa sau được tổ chức trong bộ nhớ chia sẻ và không bao giờ chạm vào đĩa.
Cho rằng Apache, Lighttpd và Nginx là tất cả các phần mềm mã nguồn mở, nó không ngạc nhiên khi những kẻ tấn công sau Cdorked đã có thể chèn mã backdoor của họ vào tất cả ba. Là những gì tò mò, tuy nhiên, là cách họ quản lý để buôn lậu phiên bản trojan độc hại của họ trên các máy chủ hoạt động - không đề cập đến những gì họ hy vọng sẽ đạt được bằng cách đó. "Chúng tôi vẫn không biết chắc chắn có bao phần mềm độc hại này đã được triển khai trên các máy chủ web," các nhà nghiên cứu bảo mật ESET viết trong một bài đăng blog. "Chúng tôi tin rằng các vector lây nhiễm là không độc đáo."
Ban đầu, các nhà nghiên cứu đã nghĩ rằng những kẻ tấn công đã cố gắng tiêm phần mềm độc hại của họ lên máy chủ bằng cách khai thác một lỗ hổng trong cPanel, một công cụ quản trị từ xa đó là phổ biến trong các nhà cung cấp chia sẻ lưu trữ. Khi ngày càng bị tổn hại nhiều máy chủ được phát hiện, tuy nhiên, các nhà nghiên cứu nhận ra rằng chỉ một phần nhỏ trong số họ đã chạy cPanel.
"Một điều rõ ràng là, phần mềm độc hại này không tuyên truyền của chính nó và không khai thác một lỗ hổng trong phần mềm cụ thể," các nhà nghiên cứu viết. Nói cách khác, một người nào đó thay thế các phần mềm máy chủ web hợp pháp với những chương trình có chứa backdoor Cdorked, nhưng chính xác làm thế nào họ đang làm điều đó vẫn còn là một bí ẩn. Họ thậm chí có thể được sử dụng một kỹ thuật khác nhau trên mỗi máy chủ.
Bí ẩn không kém chỉ là những đối tượng dự định của cuộc tấn công có thể được, và tại sao. Theo ESET, các phần mềm độc hại Cdorked không chỉ là một cách mù quáng tấn công mỗi người lướt web người đến cùng. Trong thực tế, nó hoạt động theo một bộ quy tắc nhưng bối rối phức tạp. Đối với một điều, Cdorked giữ một danh sách các địa chỉ IP đã được chuyển hướng đến khai thác Blackhole, cùng với dấu thời gian, để tránh chuyển hướng cùng một người dùng quá thường xuyên (và do đó có nguy cơ bị phát hiện).
Các phần mềm độc hại cũng có thể được cấu hình với một danh sách trắng của các địa chỉ (hoặc dãy địa chỉ) để luôn luôn chuyển hướng, cũng như một danh sách đen các địa chỉ không bao giờ chuyển hướng. Những danh sách này có thể được lập trình thông qua một lệnh và kiểm soát máy chủ, một lần nữa mà không có bất kỳ hoạt động đáng ngờ xuất hiện trong các bản ghi máy chủ.
Trong một trường hợp ESET kiểm tra, danh sách đã được tuyên truyền với các mẫu không thể giải thích. Khoảng 50 phần trăm của tất cả các địa chỉ IPv4 đã được vào danh sách đen, dường như không phân biệt vị trí địa lý của họ. Đồng thời, khai thác đã được vô hiệu hóa cho tất cả người dùng có trình duyệt được cấu hình để sử dụng Belarus, Phần Lan, Nhật Bản, Kazakhstan, Nga, hoặc các ngôn ngữ tiếng Ukraina.
Các hệ thống mục tiêu của các phần mềm độc hại Cdorked là tương tự như vậy khó hiểu. Chỉ có người dùng đang chạy Windows XP, Vista, hoặc 7 được phục vụ khai thác, mặc dù các bộ Blackhole mới nhất hoạt động trên Windows 8, quá. Hơn nữa, chỉ có Firefox và Internet Explorer sử dụng đã bị tấn công, người dùng chạy Chrome, Opera, Safari, hoặc các trình duyệt khác đã được tha.
Thậm chí curiouser, một ngoại lệ đặc biệt đã được đưa ra cho người dùng iPhone và iPad. Các phần mềm độc hại Cdorked chuyển hướng yêu cầu của họ, nhưng không để các bộ khai thác. Thay vào đó, họ đã thể hiện một trang quảng cáo trang web khiêu dâm. Mặc dù có những điều phi lý dường như, tuy nhiên, các nhà nghiên cứu ESET tin Linux / Cdorked.A là một tinh vi, tấn công tàng hình đã được tiến hành ít nhất là từ tháng 12 2012. Họ thậm chí còn tin rằng nó liên quan đến việc sử dụng các máy chủ DNS bị xâm nhập để tạo ra chuyển hướng của nó, cái gì mà họ mô tả là "không bình thường."
Cho đến nay, họ nói rằng, ít nhất 400 máy chủ web đã được tìm thấy bị nhiễm phần mềm độc hại, 50 trong số đó đã được xếp hạng trong top 10.000 trang web phổ biến nhất của Alexa. Để tránh trở thành nạn nhân của cuộc tấn công, người dùng nên để đảm bảo rằng trình duyệt và bổ sung của họ là hoàn toàn tất cả các up-to-ngày - hoặc, nếu có thể, người khuyết tật - và chạy phần mềm chống virus.
Máy chủ quản trị viên muốn chắc chắn rằng hệ thống của họ không bị ảnh hưởng có thể tải về phiên bản mới nhất của công cụ phát hiện ESET, mà đã được cập nhật để phát hiện tất cả các biến thể được biết đến của các phần mềm độc hại ảnh hưởng đến Apache, Lighttpd và Nginx. ®
