מחקר חדש: שרתי IIS של ממשלות ואתרי סחר על הכוונת של ההאקרים
בין הקורבנות, ממשלות בדרום מזרח אסיה ועשרות חברות השייכות לתעשיות שונות הממוקמות בקנדה, וייטנאם והודו, אך גם בארה"ב, ניו זילנד, דרום קוריאה ומדינות נוספות
עמי רוחקס דומבה
| 09/08/2021
bigstock
חוקרי חברת אבטחת המידע ESET גילו קבוצה של 10 משפחות של תוכנות זדוניות שאינן מוכרות, אשר משתמשות בתוספים זדוניים לשרת האינטרנט של מיקרוסופט (IIS) ובאמצעותם התוקפים יכולים להשתלט ולגשת אל המידע בשרת ואף לשנות אותו. שלוש מהמשפחות החדשות שהתגלו, ממחישות כיצד בוצע שימוש בנוזקת IIS לביצוע פשעי סייבר, ריגול ברשת והונאות SEO. המחקר הוצג לראשונה בכנסBlack Hat USA 2021.
האיומים החדשים שהתגלו פועלים באמצעות ציתות והתעסקות עם תקשורת השרת, ומתמקדים בתיבות דוא"ל ממשלתיות, עסקאות של כרטיסי אשראי באתרי איקומרס והפצה נוספת של איומים ונוזקות. על פי נתוני הטלמטריה של ESET וסריקות נוספות שערכו ברחבי האינטרנט במטרה לזהות את נוכחותן של הדלתות האחוריות עולה כי לפחות חמש מהדלתות האחוריות של IIS התפשטו באמצעות ניצול שרתי הדואר האלקטרוני של Microsoft Exchange בשנת 2021.
בין הקורבנות, ממשלות בדרום מזרח אסיה ועשרות חברות השייכות לתעשיות שונות הממוקמות בקנדה, וייטנאם והודו, אך גם בארה"ב, ניו זילנד, דרום קוריאה ומדינות נוספות. תוכנות זדוניות של IIS הן סוג של איומים מגוונים המשמשים לפשעי רשת, ריגול סייבר והונאות SEO - אך בכל המקרים, המטרה העיקרית היא ליירט בקשות HTTP הנכנסות לשרת IIS שנפגע, ולהשפיע על האופן שבו השרת מגיב (לחלק מ) לבקשות אלו.
ב-ESET זיהו חמש דרכים עיקריות בהן פועלת תוכנה זדונית של IIS
· התחברות באמצעות דלתות אחוריות של IIS שמאפשרות למפעיליהן לשלוט מרחוק על השרת הפגוע.
· גניבת מידע של IIS אשר מאפשר למפעילים ליירט תקשורת ומידע העובר בין השרת שנפגע לבין המבקרים הלגיטימיים שלו ולגנוב מידע כגון נתונים אישיים, אישורי התחברות ופרטי תשלום.
· הטמנת נוזקות באתרים אשר גורמות נזק למחשבים של מבקרים לגיטימיים.
· שימוש בשרת שנפגע ככלי לתקיפת אתרים או מטרות אחרות.
· הונאתSEO אשר משנה את התוכן המוגש למנועי החיפוש כדי לתפעל אלגוריתמים של SERP ולהגביר את הדירוג של אתרים אחרים המעניינים את התוקפים.
"עדיין די נדיר שתוכנות אבטחה פועלות בשרתי IIS, מה שמקל על התוקפים לפעול במרחב הזה במשך פרקי זמן ארוכים ללא זיהוי. נתונים אלו צריכים להטריד את כל אתרי האינטרנט הרציניים המאחסנים את אתרם בשרתי IIS, ורוצים להגן על נתוני המבקרים שלהם, כולל אימות משתמשים, מידע אישי ופרטי תשלום. ארגונים שמשתמשים ב- Outlook באינטרנט צריכים לשים לב גם מכיוון שהם תלויים ב- IIS ויכולים להיות יעד מעניין לריגול", מסבירה החוקרת של ESET, סוזנה הרומקובה.
קראו את המחקר המלא.
בין הקורבנות, ממשלות בדרום מזרח אסיה ועשרות חברות השייכות לתעשיות שונות הממוקמות בקנדה, וייטנאם והודו, אך גם בארה"ב, ניו זילנד, דרום קוריאה ומדינות נוספות
bigstock
חוקרי חברת אבטחת המידע ESET גילו קבוצה של 10 משפחות של תוכנות זדוניות שאינן מוכרות, אשר משתמשות בתוספים זדוניים לשרת האינטרנט של מיקרוסופט (IIS) ובאמצעותם התוקפים יכולים להשתלט ולגשת אל המידע בשרת ואף לשנות אותו. שלוש מהמשפחות החדשות שהתגלו, ממחישות כיצד בוצע שימוש בנוזקת IIS לביצוע פשעי סייבר, ריגול ברשת והונאות SEO. המחקר הוצג לראשונה בכנסBlack Hat USA 2021.
האיומים החדשים שהתגלו פועלים באמצעות ציתות והתעסקות עם תקשורת השרת, ומתמקדים בתיבות דוא"ל ממשלתיות, עסקאות של כרטיסי אשראי באתרי איקומרס והפצה נוספת של איומים ונוזקות. על פי נתוני הטלמטריה של ESET וסריקות נוספות שערכו ברחבי האינטרנט במטרה לזהות את נוכחותן של הדלתות האחוריות עולה כי לפחות חמש מהדלתות האחוריות של IIS התפשטו באמצעות ניצול שרתי הדואר האלקטרוני של Microsoft Exchange בשנת 2021.
בין הקורבנות, ממשלות בדרום מזרח אסיה ועשרות חברות השייכות לתעשיות שונות הממוקמות בקנדה, וייטנאם והודו, אך גם בארה"ב, ניו זילנד, דרום קוריאה ומדינות נוספות. תוכנות זדוניות של IIS הן סוג של איומים מגוונים המשמשים לפשעי רשת, ריגול סייבר והונאות SEO - אך בכל המקרים, המטרה העיקרית היא ליירט בקשות HTTP הנכנסות לשרת IIS שנפגע, ולהשפיע על האופן שבו השרת מגיב (לחלק מ) לבקשות אלו.
ב-ESET זיהו חמש דרכים עיקריות בהן פועלת תוכנה זדונית של IIS
· התחברות באמצעות דלתות אחוריות של IIS שמאפשרות למפעיליהן לשלוט מרחוק על השרת הפגוע.
· גניבת מידע של IIS אשר מאפשר למפעילים ליירט תקשורת ומידע העובר בין השרת שנפגע לבין המבקרים הלגיטימיים שלו ולגנוב מידע כגון נתונים אישיים, אישורי התחברות ופרטי תשלום.
· הטמנת נוזקות באתרים אשר גורמות נזק למחשבים של מבקרים לגיטימיים.
· שימוש בשרת שנפגע ככלי לתקיפת אתרים או מטרות אחרות.
· הונאתSEO אשר משנה את התוכן המוגש למנועי החיפוש כדי לתפעל אלגוריתמים של SERP ולהגביר את הדירוג של אתרים אחרים המעניינים את התוקפים.
"עדיין די נדיר שתוכנות אבטחה פועלות בשרתי IIS, מה שמקל על התוקפים לפעול במרחב הזה במשך פרקי זמן ארוכים ללא זיהוי. נתונים אלו צריכים להטריד את כל אתרי האינטרנט הרציניים המאחסנים את אתרם בשרתי IIS, ורוצים להגן על נתוני המבקרים שלהם, כולל אימות משתמשים, מידע אישי ופרטי תשלום. ארגונים שמשתמשים ב- Outlook באינטרנט צריכים לשים לב גם מכיוון שהם תלויים ב- IIS ויכולים להיות יעד מעניין לריגול", מסבירה החוקרת של ESET, סוזנה הרומקובה.
קראו את המחקר המלא.
