وب سایت اجرای قانون آمار BlueLeaks ممکن است آسان برای هک

هر کس که به 251 وب سایت اجرای قانون را شکست و به دست آمده از اسناد و مدارک به نظر می رسد که استفاده دوباره از نرم افزار دهه های قدیمی برای باز کردن “backdoors” در سرورهای وب.

استفاده از درهای پشت در دسترس به طور گسترده ای شواهدی را ارائه می دهد که هکتایویست که سایت های حساس، از جمله مراکز همجوشی مرتبط با آژانس های فدرال را به خطر می اندازه، نیازی به استفاده از روش های پیچیده حمله دیجیتال ی را ندارد زیرا سایت ها بسیار امن نیستند.

درهای پشت در میان فایل ها در تقریبا 270 گیگابایت بلولیکس ریخته اما به نظر می رسد نه از نهادهای اجرای قانون سرچشمه, مانند بسیاری از اسناد, اما از هکر, که به نظر می رسد پشت سر گذاشته اند چند ابزار در داده های نشت. فایل های دیگر به بیرون درز ارائه سرنخ های بیشتر در مورد چگونگی عمل هکتایونیست.

دو تا از فایل ها یک نوع بدافزار هستند که به «پوسته های وب» معروف هستند: فایل های مخربی که وقتی روی یک سرور قرار می گیرد، یک نقطه ورود آنلاین فراهم می کند که از طریق آن یک هکر می تواند فایل ها را دانلود و آپلود کند یا فرمان های انتخاب خود را صادر کند. این درهای پشت با مواد BlueLeaks به دست آمده از وب سایت منطقه قاچاق مواد مخدر شدت بالا آریزونا، که اساسا مرکز آریزونا در همجوشی برای جنگ مواد مخدر ظاهر می شود. یکی “ntdaddy.aspx” و دیگری “blug.aspx” نامیده می شود. حضور آنها دارای پیامدهایی برای تمام سایت های آسیب دیده است، که توسط همان شرکت اداره می شدند و به نظر می رسد که اجرای نرم افزار مشابه.

دو فایل دیگر به نظر می رسد که به نفوذ اسناد از سرورها کمک کرده اند. فایل های آریزونا HIDTA شامل یک کپی از یک برنامه برای انتقال امن فایل ها در سراسر اینترنت، که می توانست مورد استفاده قرار گرفته برای انتقال فایل ها بر روی یک کامپیوتر کنترل شده توسط هکر. فایل ها برای یک سایت دیگر، ICEFISHX، مرکز همجوشی پلیس مینه سوتا، شامل یک کپی از یک برنامه برای فشرده سازی فایل ها، که آن را بسیار سریع تر برای هکر به آپلود صدها گیگابایت داده ها را به کامپیوتر خود را.

به نظر می رسد هر چهار پرونده از طریق تمبرهای دیجیتالی زمان خود به طور ختنه ای به هکر مرتبط هستند، که نشان می دهد آنها عصر روز شنبه ۶ ژوئن ایجاد شده اند —و آنها را در میان جدیدترین داده های منتشر شده در بلولیکس قرار داده اند. در واقع، این زمان به احتمال زیاد مربوط به لحظات قبل از hacktivist نفوذ داده ها برای این نشت.

فایل ها هیچ اطلاعاتی در مورد هویت هکر ارائه نمی کنند، چگونه هکر از ناشناس بودن خود محافظت می کرد، چه زیرساختهایی را برای نفوذ داده ها استفاده می کرد، یا اینکه از چه آسیب پذیری برای هک کردن این وب سایت ها بهره برداری می کرد. اما آنها نشان می دهد که، به جای توسعه بدافزار سفارشی، هکر کشیده خارج از قفسه نرم افزار به راحتی در دسترس هر کسی آنلاین و که ضد ویروس پرچم نرم افزار به عنوان مخرب.

-اطلاعات بلولیکس

آریزونا HIDTA و مینه سوتا ICEFISHX وب سایت، و همچنین بقیه وب سایت های هک شده شامل در BlueLeaks، ساخته شده و میزبانی شده توسط شرکت توسعه وب تگزاس Netsential. همه آنها یک برنامه تحت وب را اجرا می کنند، میزبانی شده بر روی سیستم عامل ویندوز مایکروسافت؛ در سرور وب Microsoft، سرویس های اطلاعات اینترنتی یا IIS؛ و در یک چارچوب برنامه نویسی وب مایکروسافت، ASP.NET.

داده های برنامه وب نیز با استفاده از نرم افزار مایکروسافت، در یک سیستم پایگاه داده که به نام Access شناخته می شود، ذخیره می شود. برای ICEFISHX، داده ها در فایل “icefishx.mdb” بر روی سرور خود زندگی می کردند. پایگاه اطلاعاتی شامل اطلاعات مربوط به ۶۱۲۰ کاربر ثبت شده، محتوای ۳۱۵۱ ایمیل فله ای که مرکز فیوژن آن ها را ارسال کرده و همچنین فراداده ای در حدود صدها سند را در بر می گرفت. اطلاعات آریزونا HIDTA در فایلی به نام “azhidta.mdb” بود و در میان چیزهای دیگر، شامل فراداده هایی بود که هزاران مورد مانند لپ تاپ ها، مبلمان، و سیم های بدنه نظارت ی موجود در موجودی HIDTA را توصیف می کرد.

BlueLeaks شامل یک پوشه جداگانه برای هر وب سایت هک شده. فایل های وب سایت آریزونا HIDTA شامل آنچه به نظر می رسد کد منبع اصلی برای وب سایت، نوشته شده در ASP.NET، همراه با پوسته های وب مخرب، “ntdaddy.aspx” و “blug.aspx، و همچنین تصاویر، فایل های جاوا اسکریپت، و فایل های دیگر که کد برنامه وب Netsential را تشکیل می دهد. همچنین شامل تمام فایل های PDF و Microsoft Office است که در برنامه وب آپلود شده اند. در حالی که آن را به طور مستقیم شامل نمی شود “azhidta.mdb، پایگاه داده دسترسی، آن را شامل منابع به پایگاه داده، همراه با 220 صفحات گسترده، هر یک به نمایندگی از یک جدول — است که، مجموعه ای از داده های مرتبط، ساختار یافته — صادر شده از پایگاه داده است. (این درست است برای بسیاری از وب سایت های هک شده دیگر شامل در BlueLeaks, هر چند برخی از تمام کد منبع برنامه وب را شامل نمی شود.)

با توجه به سوابق نام دامنه تاریخی، در تاریخ 17 ژوئیه، تقریبا یک ماه پس از هک عمومی شد، آریزونا HIDTA مهاجرت وب سایت خود را به دور از سرور هیوستون Netsential و به وب سایت میزبانی خدمات Squarespace. ICEFISHX هنوز از برنامه وب Netsential استفاده می کند. (Netsential در وب سایت خود اعلام کرد که به درخواست های نظر از مطبوعات پاسخ نمی دهد. به پیامی از رهگیری پاسخ نداد.)

تزریق SQL

هیچ دلیل مشروع برای “ntdaddy.aspx” و “blug.aspx” پوسته وب در میان فایل های آریزونا HIDTA وجود دارد — این قطعا آثار به جا مانده از هک وجود دارد — اما دقیقا روشن نیست که چگونه آنها بر روی سرور برای شروع با. …بردار حمله اولیه برای سازش سرور چه بود؟ من هیچ مدرک مستقیمی پیدا نکردم در فایل های لاگ، به عنوان مثال، هیچ اشاره ای به “ntdaddy” نشده است. اما بهترین حدس من این است که هکر پوسته های وب را با استفاده از یک نوع هک وب به نام “تزریق SQL” اضافه کرده است، که در آن یک مهاجم قادر به تغییر دستورالعمل های ارسالی به پایگاه داده قدرت یک وب سایت است.

پروژه امنیت برنامه کاربردی وب باز که غیرانتفاعی است و به بهبود امنیت نرم افزارهای وب اختصاص دارد، حملات تزریقی را در بالای فهرست خطرات امنیتی خود برای برنامه های تحت وب قرار می دهد. SQL، کوتاه شده برای ساختار زبان پرس و جو، توسط برنامه نویسان برای خواندن و به روز رسانی بسیاری از انواع پایگاه داده ها، از جمله پایگاه داده های دسترسی مایکروسافت استفاده شده توسط همه وب سایت های هک شده در نسخه برانداز BlueLeaks استفاده می شود. حمله تزریق SQL زمانی است که یک هکر قادر به “تزریق” کد SQL خود را در داخل پرس و جو، فریب پایگاه داده را به پاسخ با اطلاعات مختلف و یا اقدامات مختلف از برنامه نویس وب سایت در نظر گرفته شده است. این است که به طور معمول با بازدید از یک آدرس وب مخرب ابداع و یا ارائه اطلاعات به خصوص به شکل وب و بهره برداری از نقص در چگونه وب سایت ایجاد نمایش داده شد SQL برای به دست آوردن اطلاعات خاص از طرف کاربران خاص انجام شده است. در یک وب سرور بد پیکربندی شده، این امکان وجود خواهد داشت (با استفاده از گزینه Access SQL query SELECT. به) برای یک هکر که آسیب پذیری تزریق SQL را کشف کرده است تا فایل های جدید را روی سرور ایجاد کند و هر اطلاعاتی که می خواهد پر کند، مانند کد هایی که یک پوسته وب را می سازد.

tinyurlis.gdv.gdv.htu.nuclck.ruulvis.netshrtco.detny.im