Другие новости
В Москве открылся бар Summer Punch — летний поп-ап от Сергея Орлова и Александра Пичугина
В Парк-отеле Орловский торжественно открыли скульптуру и фонтан Графа Орлова
«Российская креативная неделя»: любовь — в центре креативных индустрий
От госсектора до транспорта: какие московские проекты стали лауреатами национальной ИТ-премии
Фестиваль индийской культуры пройдет в Москве с 5 по 13 июля
Выставки, кинопоказы и дегустации ждут гостей фестиваля «Дружба народов» на ВДНХ
Хакерская программа атакует серверы электронной почты и FTP методом брутфорса
Экономика
Эксперты по информационной безопасности обнаружили, что некоторые версии вредоносного ПО Fort Disco используют брутфорс для взлома паролей на POP3 и FTP серверах.
Вредоносная программа, предназначенная для подбора пароля методом грубой силы (полного перебора) для атак на веб-сайты, созданные с использованием популярных систем управления контентом (таких как WordPress и Joomla), начала использоваться также для атаки на электронную почту и FTP серверы.
Вредоносная программа, известная как Fort Disco, впервые была зафиксирована в августе этого года исследователями из Arbor Networks , занимающейся смягчением последствий DDoS атак. Эксперты компании подсчитали, что Fort Disco заразила более 25 тысяч Windows-компьютеров, была использована для подбора паролей учетныхй записей администраторов более чем 6000 веб-сайтов, использующих WordPress, Joomla и DataLife Engine.
После заражения компьютера вредоносная программа периодически подключается к серверу командования и управления (C&C) для получения инструкций, которые обычно включают в себя список из тысячи целевых веб-сайтов и пароль, который нужно попробовать, чтобы получить доступ к учетной записи администратора.
По словам швейцарского эксперта по безопасности, отслеживающего ботнет Abuse.ch, вредоносная программа Fort Disco развивается. «Спускаясь вниз по кроличьей норе, я нашел вариант этой вредоносной программы, которая пыталась взломать POP3 – вместо WordPress», – написал он в понедельник в своем блоге.
Почтовый протокол версии 3 (POP3) позволяет клиентам e-mail подключаться к почтовым серверам и получать сообщения из существующих учетных записей.
Для этого конкретного варианта Fort Disco, сервер C&C отправляет список имён доменов, сопровождающийся соответствующими записями MX (записями почтового сервера). MX-записи для данного домена указывают серверы, на которые нужно отправлять электронную почту, предназначенную для адресов в данном домене.
Сервер C&C также предоставляет список стандартных учетных записей электронной почты – и как правило, это admin, info и support, для которых вредоносное ПО должно попытаться подобрать пароль, сказал швейцарский исследователь.
«В разговоре с парнями из Shadowserver (организации, которая отслеживает ботнеты), выяснилось, что они видели это семейство вредоносных программ, подбирающим пароли на FTP с использованием той же методологии», – сказал он.
Нападения на сайты с использованием метода полного перебора пароля, нацеленные на WordPress и других популярные системы управления контентом (CMS), являются довольно распространенным явлением, но они, как правило, осуществляются с использованием вредоносных скриптов на Python или Perl на серверах-изгоях, сказал исследователь. С помощью этой вредоносной программы злоумышленники создали способ распространения своих атак с использованием большого количества машин, а также возможность атаковать POP3 и FTP серверы, сказал он.
