- Домен кампанії Nunes містить російський спам
- Джерелом інфекції був покинутий сайт WordPress
- SEO-переадресації спаму є частиною кібер-злочинної операції
Веб-сайт кампанії спірного американського політика був зламаний минулого року в травні і все ще приймає російський SEO-спам, за даними кількох джерел.
Через роль Респ. Нунеса в розслідуванні зв'язків Президента Трампа з Росією, цей інцидент наразі є гарячою темою в соціальних мережах. Деякі користувачі перекручують наявні факти в тему ФУН "Росія була скомпрометована Нунесом".
Домен кампанії Nunes містить російський спам
Інцидент вперше був помічений користувачем Twitter з іменем користувача @ 3L3V3NTH, який звернув увагу на те, що один з доменів сайтів кампанії Devin Nunes —devinnunes.net — повертав російський спам в результатах пошуку Google.
Інцидент також привернув увагу Еріка Дж. Елласона, генерального директора американської веб-дизайнерської фірми SlickRockWeb, який проаналізовано повідомили про цю подію кампанії Нунес.
Джерелом інфекції був покинутий сайт WordPress
Ellason каже, що джерелом інфекції був сайт WordPress, який був перенесений в папку / temp / папку і залишився без оновлень місяцями.
Цілком ймовірно, що зловмисники відсканували павутину для незабезпечених установок WordPress, знайшли застарілий сайт і використовували бідні сайти для того, щоб скомпрометувати сайт і залишити за собою SEO-спам, щоб підвищити репутацію інших сайтів. Це звичайна техніка атаки серед кібер-злочинців, а сайти WordPress часто орієнтовані, а гармати на такі напади [ 1 , 2 , 3 ].
Інсталяція WordPress, що залишилася для мертвих в папці / temp / папці - окремо від фактичного веб-сайту devinnunes.net - була ймовірною метою, оскільки вона використовувала WordPress 4.5.2, коли на даний момент найновішим випуском WordPress було 4.5.9 .
Крім того, на сайті також використовуються кілька застарілих плагінів, наприклад:
Mailpoet Newsletters - версія 2.7.2 знайдена - безпечний 2.7.3
WooComerce - версія 2.5.5 знайдена - сейф 2.6.9
LayerSlider - версія 5.4.0 знайдена - безпечна 6.2
Сайт також використовував плагін RevSlider, той же плагін, який вважають багато експертів пункт входу що хакери вривалися в інфраструктуру Мосака Фонсеки, юридичної фірми, що стояла за сумнозвісною витоками Панамських документів, які викривали фінанси багатьох еліт світу. На відміну від Mossack Fonseca, установка Nunes WordPress запускала нову версію плагіна, версію 4.6.93.
SEO-переадресації спаму є частиною кібер-злочинної операції
За словами Ellason, доступ до російськомовних сторінок, розміщених на цій установці WordPress, перенаправляє користувачів на інші домени. У більшості випадків переадресація здійснювалася через три інші області, які працювали як посередницькі точки.
Три домени: traffka-mix.com, tdskakts.com і js-cloudbox.com. З них другий найбільш цікавий. Цей домен зареєстрований недавно Юрій Мартисев, громадянин Латвії заарештований США і заряджений службою сканера шкідливих програм, також відомої як сканер FUD, дуже популярний серед різних авторів шкідливих програм.
Згідно з Ellason, в той час, як команда Nunes не відреагувала на його доповідь, "питання швидко було усунене пізніше той день."
Ellason каже, що команда Nunes перенаправлена веб-сайт devinnunes.net до домену devinnunes.com, а також, здається, видалила закинуту установку WordPress з папки сервера / temp / папки, ефективно видаливши та поклавши край сайтам спаму SEO.
Насправді цього не сталося. Згідно з тестами, проведеними сьогодні компанією Bleeping Computer, сторінки спаму SEO все ще доступні на домені devinnunes.net, і на момент написання цієї служби ця послуга все ще скомпрометована. Візьмемо, наприклад це посилання з аналізу Ellason, який зображений нижче.
В той час, як покинута інсталяція WordPress видалена, індексовані сторінки видаляються з Google, а домашня сторінка devinnunes.net тепер перенаправляє на devinnunes.com, спам на SEO все ще знаходиться на сервері. Це тому, що SEO спам і притаманні веб-оболонки, що влада їм, як відомо, важко видалити, часто відроджуючись знову і знову, поки сервери не будуть очищені професіоналами або витерті і перевстановлені з нуля.
Крім того, є ті, хто стверджує це один з файлів що все ще присутня на сайті devinnunes.net - це троян, який краде інформацію.
Цей скрипт не є крадіжкою інформації трояна і не може заразити відвідувача. Замість цього, цей сценарій ASP використовується хакерами для передачі коду, який виконується на сервері. Це дозволяє хакеру виконувати команди віддалено або відкривати віддалену веб-оболонку для повного доступу до сайту. Це далі пояснюється тут .
Але таємниця залишається. Незрозуміло, що або якщо якась конфіденційна інформація також зберігається на цьому сервері, і якщо хакери звернулися або здійснили будь-які інші операції на цій машині.
"Тільки офіс Реп. Нунес може сказати, наскільки серйозним був цей порушення безпеки", говорить Елласон. "Тому що Реп. Нунес є головою Комітету з розвідки будинку, він буде вважатися цільовим об'єктом".
Незважаючи на постійну інфекцію SEO спамом, всі наявні дані свідчать, що представник Nunes був просто жертвою забуття веб-майстрів і основного спаму в SEO.
Щоб розібратися, Bleeping Computer звернувся до команди Rep. Nunes з кількома питаннями щодо інциденту, але ми не почули вчасно публікацію цієї статті.
Оновлення 4/4/18 11:05: стаття була оновлена, щоб включити більше інформації про скрипт ASP, розташований на devinnunes.net сайту.
Додаткова звітність Лоуренса Абрамса.