DragonRank SEO ataka: paslėptas manipuliavimas IIS serveriais
Table of Contents
Sudėtinga paieškos reitingų išnaudojimo strategija
„DragonRank SEO Attack“ yra kampanija, skirta interneto informacijos paslaugų (IIS) serveriams, ypač kai kuriose Azijos ir Brazilijos dalyse. Šios operacijos tikslas – manipuliuoti paieškos sistemų reitingavimu, į žiniatinklio turinį įvedant kenkėjiškų komponentų, nukreipiant vartotojus į neteisėtas svetaines ir naudojant pažeistus serverius siekiant finansinės naudos. Ši veikla yra susieta su žinoma grupe, kuri savo strategijai vykdyti naudoja pasirinktines užpakalines duris, dažnai identifikuojamas kaip BadIIS.
Koks yra tikrasis DragonRank tikslas?
Atrodo, kad pagrindinis šios atakos tikslas yra finansinis pelnas, pasiekiamas naudojant paieškos reitingą ir neteisėtus peradresavimus. Pažeisdami IIS serverius, priklausančius vyriausybinėms agentūroms, universitetams ir technologijų įmonėms, užpuolikai keičia, kaip šie serveriai reaguoja į žiniatinklio užklausas. Tai leidžia jiems nukreipti nieko neįtariančius lankytojus į neleistinas vietas, įskaitant lošimų svetaines ir nesąžiningas platformas, kuriose yra kredencialų vagysčių puslapiai.
Manipuliavimas nesibaigia paprastais peradresavimais. Užpuolikai diegia mechanizmą, kuris tikrina gaunamas konkrečių paieškos variklio identifikatorių arba raktinių žodžių užklausas. Jei randama atitiktis, vartotojas automatiškai siunčiamas į užpuoliko pasirinktą svetainę, o ne tikėtiną teisėtą puslapį. Tai leidžia grėsmių operatoriams manipuliuoti srauto modeliais ir daryti įtaką paieškos sistemų algoritmams, taip padidinant neteisėtų svetainių matomumą.
Poveikis organizacijoms ir vartotojams
Šios atakos poveikis yra reikšmingas, paliečiantis tiek svetainių savininkus, tiek lankytojus. Organizacijos, kuriose yra IIS serveriai, be jų žinios gali rasti savo domenus, susijusius su sukčiavimu paieška. Tai gali lemti patikimumo praradimą, saugumo pažeidimus ir galimą paieškos sistemų įtraukimą į juodąjį sąrašą. Be to, kadangi kai kurie iš šių pažeistų serverių priklauso vyriausybinėms institucijoms ir svarbioms pramonės šakoms, kyla rimtesnių duomenų pažeidimų rizika, jei užpuolikai išplės savo veiklą ne tik su SEO sukčiavimu.
Vartotojų pasekmės svyruoja nuo nukreipimo į klaidinančias ar nelegalias svetaines iki galimo žalingos programinės įrangos poveikio. Kai kuriose iš šių nesąžiningų svetainių gali kilti papildomų grėsmių, tokių kaip sukčiavimo bandymai arba bandymai surinkti neskelbtiną informaciją.
Nuorodos į didesnius elektroninių nusikaltimų tinklus
Manoma, kad kampanija DragonRank yra susijusi su platesniu kibernetinės nusikalstamos veiklos tinklu. Ankstesni tyrimai susiejo šią operaciją su grupe, pavadinta 9 grupė, kuri anksčiau buvo įsitraukusi į panašius IIS serverio kompromisus. Tolesnė analizė rodo, kad ji sutampa su atskiru subjektu, 11 grupe, kuriai taikoma panaši taktika, įskaitant galimybę vykdyti SEO sukčiavimą ir į tinklalapius įvesti žalingus scenarijus.
Kitas šios grėsmės aspektas yra jos susiejimas su infrastruktūros plovimu – praktika, kai kibernetiniai nusikaltėliai įsigyja IP adresus iš pagrindinių prieglobos paslaugų teikėjų ir naudoja juos apgaulingais tikslais. Kinijoje veikiantis tinklas, žinomas kaip Funnull, buvo susietas su šiuo metodu, pranešama, kad nuomoja tūkstančius IP adresų iš tokių paslaugų teikėjų kaip „Amazon Web Services“ ir „Microsoft Azure“. Šios IP buvo susietos su nesąžininga veikla, įskaitant sukčiavimo schemas, finansinį sukčiavimą ir netikras lošimo platformas.
Manipuliavimo paieškos sistemomis raida
Ši ataka pabrėžia didėjančią tendenciją, kai kibernetiniai nusikaltėliai neteisėtais tikslais naudoja paieškos algoritmus. Užgrobdami patikimą žiniatinklio infrastruktūrą, jie apeina tradicinius aptikimo mechanizmus ir gauna prieigą prie didelio žiniatinklio srauto. Tokia taktika ne tik kenkia paieškos sistemų patikimumui, bet ir kelia naujų pavojų interneto vartotojams, kurie gali nesąmoningai sąveikauti su pažeistomis svetainėmis.
Kibernetiniams nusikaltėliams tobulinant savo metodus, organizacijos turi imtis aktyvių veiksmų, kad apsaugotų savo žiniatinklio aplinką. IIS serverio konfigūracijų stiprinimas, srauto anomalijų stebėjimas ir griežtų saugos kontrolės priemonių įgyvendinimas gali padėti sumažinti tokių kampanijų kaip „DragonRank“ keliamą riziką. Tuo tarpu paieškos sistemų operatoriai ir kibernetinio saugumo tyrinėtojai toliau seka šias besikeičiančias grėsmes ir kovoja su ja.
