- Domena kampanii Nunes obsługuje rosyjski spam
- Źródłem infekcji była opuszczona witryna WordPress
- Przekierowania spamu SEO są częścią operacji cyberprzestępczych
Strona internetowa kampanii kontrowersyjnego polityka USA została zhakowana w maju zeszłego roku i według wielu źródeł nadal jest gospodarzem rosyjskiego spamu SEO.
Ze względu na rolę Rep. Nunesa w badaniu powiązań prezydenta Trumpa z Rosją, ten incydent jest obecnie gorącym tematem w mediach społecznościowych, ponieważ niektórzy użytkownicy przekręcają istniejące fakty na temat „Nunes został naruszony przez Rosję”.
Domena kampanii Nunes obsługuje rosyjski spam
Incydent został po raz pierwszy zauważony przez użytkownika Twittera o nazwie użytkownika @ 3L3V3NTH, który zwrócił uwagę, że jedna z domen witryny Devin Nunes —devinnunes.net— zwraca rosyjski spam w wynikach wyszukiwania Google.
Incydent przykuł również uwagę Erica JN Ellasona, dyrektora generalnego amerykańskiej firmy SlickRockWeb, która analizowane infekcja i zgłosiła zdarzenie kampanii Nunes.
Źródłem infekcji była opuszczona witryna WordPress
Ellason twierdzi, że źródłem infekcji była witryna WordPress, która została przeniesiona do folderu / temp / na serwerze i porzucona bez aktualizacji przez miesiące.
Najprawdopodobniej osoby atakujące przeskanowały sieć w poszukiwaniu niezabezpieczonych instalacji WordPressa, znalazły przestarzałą witrynę i wykorzystały exploity, aby narazić witrynę na szwank i pozostawić spam SEO mający na celu zwiększenie reputacji innych witryn. Jest to powszechna technika ataku wśród cyberprzestępców, a witryny WordPress są często atakowane, a mięso z takich ataków [… 1 , 2 , 3 ].
Instalacja WordPressa pozostawiona martwemu w folderze / temp / serwera - oddzielona od rzeczywistej strony devinnunes.net - była prawdopodobnym celem, ponieważ działała WordPress 4.5.2, kiedy w tym czasie najbardziej aktualnym wydaniem WordPressa było 4.5.9 .
Ponadto witryna używała wielu przestarzałych wtyczek, takich jak:
Mailpoet Newsletters - wersja 2.7.2 znaleziona - bezpieczna jest 2.7.3
Znaleziono wersję WooComerce - 2.5.5 - bezpieczna jest wersja 2.6.9
Znaleziono wersję LayerSlider - 5.4.0 - bezpieczna jest wersja 6.2
Witryna korzystała również z wtyczki RevSlider, tej samej wtyczki, którą uważa wielu ekspertów punkt wejścia hakerzy włamywali się do infrastruktury Mossack Fonseca, kancelarii adwokackiej stojącej za niesławnymi wyciekami Panama Papers, które ujawniły finanse wielu elit świata. W przeciwieństwie do Mossack Fonseca, instalacja Nunes WordPress uruchamiała nowszą wersję wtyczki w wersji 4.6.93.
Przekierowania spamu SEO są częścią operacji cyberprzestępczych
Według Ellason, dostęp do stron o tematyce rosyjskiej znajdujących się na tej instalacji WordPressa przekierowuje użytkowników do innych domen. W większości przypadków przekierowanie było obsługiwane przez trzy inne domeny, działające jako punkty pośrednie.
Trzy domeny to traffka-mix.com, tdskakts.com i js-cloudbox.com. Z nich drugi jest najbardziej interesujący. Ta domena został zarejestrowany przez Jurijsa Martisevsa, obywatela Łotwy niedawno aresztowany przez USA i odpowiedzialna za uruchomienie usługi skanera złośliwego oprogramowania, znanego również jako skaner FUD, bardzo popularny wśród różnych autorów szkodliwego oprogramowania.
Według Ellason, podczas gdy zespół Nunes nie odpowiedział na jego raport, „problem został szybko rozwiązany tego samego dnia”.
Ellason mówi, że zespół Nunes przekierował stronę devinnunes.net do domeny devinnunes.com, a także wydaje się, że usunął opuszczoną instalację WordPress z folderu / temp / serwera, skutecznie usuwając i kończąc strony spamu SEO.
W rzeczywistości tak się nie stało. Według testów przeprowadzonych dziś przez Bleeping Computer, strony spamu SEO są nadal dostępne w domenie devinnunes.net, a usługa jest nadal zagrożona w momencie pisania. Weź na przykład ten link z analizy Ellasona, która jest przedstawiona poniżej.
Podczas gdy porzucona instalacja WordPress została usunięta, zindeksowane strony są usuwane z Google, a strona główna devinnunes.net przekierowuje teraz na devinnunes.com, spam SEO jest nadal na serwerze. Wynika to z faktu, że spam SEO i nieodłączne powłoki sieciowe, które je zasilają, są bardzo trudne do usunięcia, często odradzane, dopóki serwery nie zostaną wyczyszczone przez profesjonalistów lub nie zostaną wymazane i ponownie zainstalowane od podstaw.
Ponadto są tacy, którzy tak twierdzą jeden z plików który jest nadal obecny na stronie devinnunes.net to trojan kradnący informacje.
Ten skrypt nie jest trojanem kradnącym informacji i nie może zainfekować odwiedzającego. Zamiast tego ten skrypt ASP jest używany przez hakerów do przesyłania kodu, który jest wykonywany na serwerze. Pozwala to hakerowi zdalnie wykonywać polecenia lub otwierać zdalną powłokę WWW w celu uzyskania pełnego dostępu do witryny. To jest dalej wyjaśniono tutaj .
Ale pozostaje tajemnica. Nie jest jasne, co lub jeśli jakiekolwiek poufne informacje są również przechowywane na tym serwerze, i czy hakerzy uzyskali dostęp lub wykonali jakiekolwiek inne operacje na tej konkretnej maszynie.
„Tylko biuro Rep. Nunesa może powiedzieć, jak poważne było to naruszenie bezpieczeństwa” - mówi Ellason. „Ponieważ Rep. Nunes jest przewodniczącym Komisji Wywiadu Domowego, będzie uważany za cel o wysokiej wartości”.
Pomimo trwającej infekcji spamem SEO, wszystkie dostępne dowody sugerują, że Rep. Nunes była ofiarą zapomnienia webmasterów i podstawowego spamu SEO.
Aby to wyjaśnić, Bleeping Computer skontaktował się z zespołem Rep. Nunes z kilkoma pytaniami dotyczącymi tego incydentu, ale nie usłyszeliśmy na czas publikacji tego artykułu.
Aktualizacja 2/4/18 11:05: Artykuł został zaktualizowany i zawiera więcej informacji na temat skryptu ASP znajdującego się na stronie devinnunes.net teren.
Dodatkowe sprawozdanie Lawrence'a Abramsa.