سلط باحثون في الأمن السيبراني الضوء على حملة تسميم محركات البحث (SEO Poisoning) نفذها على ما يبدو جهة تهديد ناطقة بالصينية باستخدام البرمجية الخبيثة BadIIS، مستهدفة مناطق شرق وجنوب شرق آسيا، مع تركيز خاص على فيتنام. وتعرف هذه العملية باسم Operation Rewrite، ويقوم فريق Unit 42 من Palo Alto Networks بمتابعتها تحت الكود CL-UNK-1037، حيث يشير “CL” إلى العنقود و”UNK” إلى الدوافع غير المعروفة. وقد تبين أن هذا الفاعل يشارك البنية التحتية وبعض المعماريات مع جهة تعرف باسم Group 9 وفق تحليلات شركتي ESET وDragonRank.
آلية الهجوم وتسميم نتائج البحث
أوضح الباحث Yoav Zemah أن “تسميم محركات البحث يتم عبر التلاعب بنتائج البحث لخداع المستخدمين وزيارة مواقع غير متوقعة أو غير مرغوبة، مثل مواقع القمار أو المواد الإباحية، لتحقيق مكاسب مالية”. وأضاف أن هذا الهجوم استخدم وحدة IIS خبيثة تُعرف باسم BadIIS.
تم تصميم BadIIS لاعتراض وتعديل حركة مرور HTTP الواردة بهدف تقديم محتوى خبيث لزوار المواقع عبر خوادم شرعية مخترقة. بمعنى آخر، يقوم المهاجمون حقن كلمات مفتاحية وعبارات في مواقع موثوقة لتحويل الزوار الذين يبحثون عنها في محركات البحث إلى المواقع المخترقة، ومن ثم إعادة توجيههم إلى مواقع احتيالية.
استغلال البرمجية للوصول المستمر
تتمتع وحدة IIS بقدرة على تمييز الزوار من محركات البحث عبر فحص رأس User-Agent في طلب HTTP، مما يسمح لها بالاتصال بخادم خارجي لجلب المحتوى المسموم وتعديل ترتيب الموقع في نتائج البحث. بعد تسميم المواقع، يكفي أن يقوم الضحايا بالبحث عن هذه المصطلحات والنقر على المواقع المخترقة، لتتم إعادة توجيههم إلى مواقع احتيالية.
في إحدى الحالات التي تحقق فيها Unit 42، استغل المهاجمون وصولهم إلى زاحف محرك البحث للانتقال إلى أنظمة أخرى، وإنشاء حسابات محلية جديدة، وزرع Web Shells للوصول عن بُعد المستمر، وسرقة الشيفرات المصدرية، ورفع مكونات BadIIS الخبيثة.
أدوات BadIIS المتعددة وتكتيكاتها
تشمل الأدوات التي نشرها المهاجمون:
-
وحدة ASP.NET خفيفة تحقق التسميم عبر الوكالة العكسية لمحتوى خبيث من خادم C2 بعيد.
-
وحدة .NET Managed IIS يمكنها فحص وتعديل كل طلب يمر عبر التطبيق، حقن الروابط والعبارات من خادم C2 آخر.
-
سكريبت PHP شامل يجمع بين إعادة التوجيه للمستخدم والتسميم الديناميكي لنتائج البحث.
وأكدت Unit 42 أن “جميع هذه الأدوات صممت لتحقيق هدف التلاعب بنتائج محركات البحث والسيطرة على تدفق حركة المرور“. وتؤكد الأدلة اللغوية والبنية التحتية أن الفاعل ناطق بالصينية ومرتبط بعنقود Group 9.
السياق الدولي وتهديدات SEO
يأتي الكشف بعد أسابيع من تقرير ESET عن عنقود تهديد غير موثق سابقًا باسم GhostRedirector، الذي نجح في اختراق 65 خادم Windows على الأقل في البرازيل، تايلاند، وفيتنام باستخدام وحدة IIS خبيثة باسم Gamshen لتسهيل عمليات الاحتيال عبر SEO.
