Хакерская программа атакует серверы электронной почты и FTP методом брутфорса

01.10.2013 | 01:11 Экономика

Эксперты по информационной безопасности обнаружили, что некоторые версии вредоносного ПО Fort Disco используют брутфорс для взлома паролей на POP3 и FTP серверах.

Вредоносная программа, предназначенная для подбора пароля методом грубой силы (полного перебора) для атак на веб-сайты, созданные с использованием популярных систем управления контентом (таких как WordPress и Joomla), начала использоваться также для атаки на электронную почту и FTP серверы.

Вредоносная программа, известная как Fort Disco, впервые была зафиксирована в августе этого года исследователями из Arbor Networks , занимающейся смягчением последствий DDoS атак. Эксперты компании подсчитали, что Fort Disco заразила более 25 тысяч Windows-компьютеров, была использована для подбора паролей учетныхй записей администраторов более чем 6000 веб-сайтов, использующих WordPress, Joomla и DataLife Engine.

После заражения компьютера вредоносная программа периодически подключается к серверу командования и управления (C&C) для получения инструкций, которые обычно включают в себя список из тысячи целевых веб-сайтов и пароль, который нужно попробовать, чтобы получить доступ к учетной записи администратора.

По словам швейцарского эксперта по безопасности, отслеживающего ботнет Abuse.ch, вредоносная программа Fort Disco развивается. «Спускаясь вниз по кроличьей норе, я нашел вариант этой вредоносной программы, которая пыталась взломать POP3 – вместо WordPress», – написал он в понедельник в своем блоге.

Почтовый протокол версии 3 (POP3) позволяет клиентам e-mail подключаться к почтовым серверам и получать сообщения из существующих учетных записей.

Для этого конкретного варианта Fort Disco, сервер C&C отправляет список имён доменов, сопровождающийся соответствующими записями MX (записями почтового сервера). MX-записи для данного домена указывают серверы, на которые нужно отправлять электронную почту, предназначенную для адресов в данном домене.

Сервер C&C также предоставляет список стандартных учетных записей электронной почты – и как правило, это admin, info и support,  для которых вредоносное ПО должно попытаться подобрать пароль, сказал швейцарский исследователь.

«В разговоре с парнями из Shadowserver (организации, которая отслеживает ботнеты), выяснилось, что они видели это семейство вредоносных программ, подбирающим пароли на FTP с использованием той же методологии», – сказал он.

Нападения на сайты с использованием метода полного перебора пароля, нацеленные на WordPress и других популярные системы управления контентом (CMS), являются довольно распространенным явлением, но они, как правило, осуществляются с использованием вредоносных скриптов на Python или Perl на серверах-изгоях, сказал исследователь. С помощью этой вредоносной программы злоумышленники создали способ распространения своих атак с использованием большого количества машин, а также возможность атаковать POP3 и FTP серверы, сказал он.