چند روز پیش یکی از دوستان از مزاحمت در تلگرام گفت و فردی رو معرفی کرد که دوست من نمی‌شناختش اما اون مزاحم شماره دوست من رو توی لیست کانتکت‌هاش داشت. بعد مشخص شد که مزاحم از یک اپلیکیشن استفاده کرده برای پیدا کردن اکانت تلگرام و مزاحمت. در این نوشته، اپلیکیشن و آدرس‌ها رو بررسی می‌کنم تا مشخص بشه که چه کسی اطلاعات افراد عادی رو (با متن‌های توهین‌آمیز) در اختیار دیگران می‌گذاره. پیشاپیش بابت کلمات استفاده شده در تصاویر عذر می‌خوام. اگر جایی از عکس کسی استفاده کردند، من صورت‌ها رو پوشوندم.

اپلیکیشنی که دانلود کرده بود از یکی از کانال‌های تلگرام بوده به اسم «دختر ایرونی» که بیش از ۵۳ هزار نفر عضو داره.

این کانال رو چک کردم و گذشته از تبلیغات مهوع و لفظ‌هایی که برای تبلیغ کانال‌های دیگه استفاده کرده بود، آدرس یک سایت رو داده بود برای خرید اپلیکیش «صیغه‌یاب و دوستیاب».

کار من برای پیدا کرد کسانی که پشت تولید و توزیع این اپلیکیشن (و احتمالا مرتبط با این کانال تلگرامی) هستند از اینجا شروع می‌شه.

بخش اول: سوما

قدم اول: وبلاگ

اون آدرس کوتاه شده در تبلیغ اپلیکیشن، آدرس یک وبلاگ روی سرویس وبلاگ‌دهی روزبلاگه. تقریبا اکثر اسپم‌ها و بدافزارها اخیرا از این سرویس وبلاگ استفاده می‌کنند. هرچند که چند وقتی یک بار اکنتشون بسته می‌شه اما سریعا وبلاگ دیگری در همین سرویس می‌سازند.

فعلا از این آدرس‌ها استفاده می‌کنند. سایت‌ها رو بازدید نکنید چون ممکنه که بدافزار توزیع کنند.

قدم دوم: جستجوی ایمیل

در ۳ صفحه بالا، ایمیل‌های زیر برای پشتیبانی نوشته شده:

این ایمیل‌ها در فروش محصولات متعددی از جمله اپلیکیشن جاسوسی از همسر و فرزندان، استفاده شده.

در ادامه آدرس‌های دیگه‌ای مرتبط یا این ایمیل‌ها هم پیدا شد.

بررسی این ایمیل‌ها نسون داد که همگی ایمیل‌های ساخته شده به منظور کلاه‌برداری بوده و ایمیل شخصی نیست. بنابراین باید بررسی رو از مسیر دیگه‌ای جلو ببرم.

قدم سوم: جستجوی متن

با جستجوی ترکیبی متن و ایمیل‌هایی که از وبلاگ‌های بالا به دست آوردم، به دو سایت جدید رسیدم که می‌تونه راه‌گشای پیدا کردن هویت کلاه‌برداران باشه.

همونطور که می‌بینید این دو دامنه روی یک سرور هستند و در واقع دامنه xyz جهت پوشش دامنه اصلی و جلوگیری از لو رفتن هویت، استفاده شده.

محتویات دامنه somaserver رو چک کنیم.

می‌بینید که برای پرداخت موفق و ناموفق فولدرهای جداگانه داره. بعدا به این فولدرها اشاره می‌کنم. توی فولدرهای دیگه، صفحه‌های فروش از پیش ساخته شده وجود داره با لینک پرداخت‌های متفاوت و ایمیل‌های مختلف. بریم فولدر behzad رو چک کنیم:

می‌بینید که ۱۰ تا نسخه مختلف آماده شده. یک فولدر به اسم m99 هم هست که بعدا بهش اشاره می‌کنم.

می‌بینید که داخل این فولدر دو صفحه html وجود داره. یکی برای فروش اپلیکیشن «صیغه‌یاب و دوستیاب» و دومی برای فروش اپلیکیشن دوربین.

در این صفحه آخر، ایمیل fileapknews@gmail.com به عنوان پشتیبان اعلام شده. در بخش بعدی این ایمیل رو بررسی می‌کنم.

این دامنه متعلق به آقای «محسن محمدنژاد» از مهاباد است و با ایمیل mohsen.mo75@gmail.com‌ ثبت شده.

آقای محسن محمدنژاد که سال‌هاست سایت‌های چت‌روم می‌ساخته، دامنه‌های دیگه‌ای رو با این ایمیل و به اسم شرکت irangap ثبت کرده.

ایشون با اسم پارت‌طرح هم سری دیگه‌ای چت روم درست کرده و یا برای فروش آماده می‌کردند. تصویر زیر از بلاگ parttarh[.]blog.ir است.

دامنه parttarh[.]ir هم توسط «اسماعیل محمودنژاد» و با ایمیل jeyweb.ir@gmail.com ثبت شده. این سایت الان در دسترس نیست.

با این ایمیل، سایت‌های دیگه‌ای هم ثبت شده.

می‌بینید که اسم سوما رو قبلا هم استفاده کرده. سایت iranian1[.]ir هم توی لیست می‌بینید که بعدا بهش اشاره می‌کنم.

یکی از دامنه‌های این مجموعه، tarhshabgap[.]in است که الان در دسترس نیست اما من کپیش رو در سایت آرشیو پیدا کردم و شامل اطلاعات بانکی آقای اسماعیل محمودنژاد بود.

آقای محسن محمودنژاد اکانت توییتر هم داره. می بینید که یک توییت بیشتر نداشته و نوشته که دامنه iranian1[.]ir که با اسم «اسماعیل محمودنژاد» ثبت شده مال ایشونه.

قدم چهارم: ادریس وارد می‌شود

آقای محسن محمودنژاد با اسم مستعار «ادریس شاهکار» هک هم انجام می‌ده. ایشون که خودش رو «هکر سرشناس مهابادی کرد زیان» معرفی کرده، تخصصش هک کردن چت‌روم‌هاست.

البته گویا بعدش کارهای جدیدی یاد گرفتند و هک سرور و دی‌داس هم به تخصصش اضافه شد.

ایشون با هکرهای «مسیح تیم» هم همکاری می‌کرده گویا و برای برگردوندن سایت‌های داخلی که هک کرده بودند، پول می‌گرفتند.

البته یه جاهایی هم با اسم مستعار mohsen mo  و ایمیل mohsen.mo99 در یاهو، هم هک انجام می‌دادند. این mo99  کاملا شبیه همون فولدر m99 است که گفته بودم بعدا بهش اشاره می‌کنم.

یک منبع دیگه هم من رو مطمئن کرد که ادریس، نام مستعار محسن محمودنژاد است. نوشته زیر در مزمت استمنا در ایام عزاداری رو از وبلاگ خودش بخونید.

نتیجه بخش اول:

محسن محمودنژاد (و احتمالا اسماعیل محمودنژاد) پشت‌پرده ی طراحی، تبلیغ و فروش اپلیکیشنی است که از هویت زنان سواستفاده می‌کنه و برچسب صیغه و … زده و اطلاعات تماسشون رو در اختیاز مزاحمان قرار می‌ده.

بخش دوم: پولی‌ها

قدم اول: ارتباط

در بررسی ایمیل Siqe.jendeYab@gmail.com به یک سایت دیگه غیر از سوما رسیدم.

قدم دوم: حسن

دامنه fixfile[.]ir به اسم محمدحسن صنعتگر و با ایمیل www.hassansd110@gmail.com ثبت شده.

می‌بینید که NS های این دامنه از یک دامنه دیگه استفاده می‌کنه: poolyapp.com

نتیجه جستجوی این ایمیل هم نشون می‌ده که کارهای دیگه ایشون چی است.

دامنه‌های دیگه‌ای که با این مشخصات ثبت شده اینهاست که همگی برای فروش اپلیکیشن‌های تقلبی بوده.

ایمیلی که در این سایت‌ها استفاده شده برای پشتیبانی poshtibansiteha@gmail.com است. نتیجه جستجوی این ایمیل رو ببینید.

قدم سوم: اطمینان از ارتباط سوما و پولی‌ها

در صفحه‌های فروش اپلیکیشن دوربین در سایت سوما به ایمیل fileapknews@gmail.com برخوردم. نتیجه جستجو به یک سایت دیگه راهنمایی کرد.

استفاده از کلمه پول رو در دامنه می‌بینید. ثبت کننده دامنه رو چک کنیم:

مجددا اسم حسن رو می‌بینیم که با ایمیل user36211@talahost.net دامنه رو ثبت کرده. هرچند شهر رو اصفهان نوشته اما کدپستی تقلبی که وارد کرده با ۹۶ شروع می‌شه که کد پستی شهرستان کاشمره که شبیه آدرس اعلام شده در سایت‌های قبله.

بخش سوم: اپلیکیشن

برای بررسی اپلیکیشن از یکی از دوستان خواستم که از طرف من خرید رو انجام بده که پس از پرداخت، لینکی دانلودی براش راسال شد که غیرفعال بود.

همونطور که می‌بینید، لینک دانلود هم روی همون سایت somaserver است.

با توجه به اسکرین‌شات‌هایی که از اپلیکیشن دارم، حدس می‌زنم نحوه عملکرد این شکلیه که یک محدوده شماره تلفن می‌گیره و همه رو به کانتکت‌ها اضافه می‌کنه. اینجوری وقتی وارد تلگرام بشید، با لیستی از افراد مواجه می‌شید که این اپلیکیشن در موردشون لفظ «صیغه» و چیزای دیگه رو استفاده کرده. افرادی عادی که صرفا به شورت اتفاقی شماره‌شون تولید شده و در اختیار مزاحمان قرار گرفته.

در صورت دریافت اپلیکیشن، این بخش رو تکمیل می‌کنم.

در پشتی یا بک‌دور (back door) اصطلاحی است که به دستکاری در کدهای برنامه با هدف دور زدن کنترل‌های امنیتی (مانند پسورد و غیره) گفته می‌شه. با داشتن در پشتی، هکر می‌تونه هر وقت بخواد و بدون داشتن پسورد، به هدف دسترسی داشته باشه. برای مثال گاهی پیش میاد که یک هکر با استفاده از یک ضعف امنیتی به یک سایت نفوذ می‌کنه و برای  اینکه بعد از به‌روزرسانی یا تغییر پسورد توسط مدیر سایت، دسترسی رو از دست نده اقدام به ایجاد یک بک‌دور در کدهای سایت می‌کنه. پیش از این در مورد یافتن درهای پشتی در کدهای PHP یک مطلب نوشتم.

چند روز پیش به دلیل کاری نیاز شد به سایت وردپرس فارسی سر بزنم. وردپرس فارسی سال‌هاست که کار ترجمه و فارسی‌سازی وردپرس رو انجام می‌ده و جایی برای ارائه پوسته‌های ترجمه شده و یا افزونه‌های فارسی هم بوده. تلاش‌های زیادی برای ساده کردن استفاده از وردپرس برای کاربران فارسی کرده و مرجع مهمی برای کاربران ایرانی وردپرسه. همین نقش سایت وردپرس فارسی دلیل خوبیه برای هکرهایی که می‌خوان با یک تیر چند نشان بزنند. برام سوال پیش اومد که آیا پوسته‌های ارائه شده در این سایت امنیت لازم رو دارند یا خیر. بیشتر هم قصدم چک کردن روش‌های معمول امنیتی در پوسته‌ها بود.

اولین پوسته‌ای که دانلود کردم برای بررسی، پوسته Modern Style بود که رتبه اول پوسته‌های ممتاز رو داشت. در کمال تعجب با کد ناخوانا شده در فایلی مواجه شدم که کارش نمایش خطا به مراجعه کننده به سایته وقتی که یک نوشته وجود نداشته باشه.

در تصویر بالا می‌بینید که تا خط ۹ همون کاری که از فایل انتظار داریم انجام می‌شه اما بعد از اون دو تا دستور PHP دیگه وجود داره. این دستورها برای رمزگشایی کدهایی است که پیش از این با روش برگشت‌پذیر base64 رمز شده‌اند. هکرها از راه‌های زیادی برای مخفی کردن درهای پشتی استفاده می‌کنند. از به‌هم ریختگی در کد، تا استفاده از کوچک‌ترین کدهای ممکن تا از چشم مدیر سایت دور بمونه. همچنین پسورد هم می‌گذارند گاهی تا توی تست‌های نفوذ نشه پیدا کرد این فایل‌های دستکاری شده رو.

تصویر زیر، کدهای رمزگشایی شده است.

در این مورد خاص، هم از رمز کردن کد و هم از پسورد استفاده شده. شیوه کار این در پشتی این شکلیه که وقتی قربانی این پوسته رو روی سایتش استفاده کنه، در اولین باری که یک مراجعه کننده صفحه اشتباهی رو باز کنه، صفحه خطای ۴۰۴ رو می‌بینه و در اون زمان، کدهای مخرب اجرا می‌شن.

در ابتدا یک ایمیل حاوی آدرس سایت برای هکر ایمیل می‌شه. حالا هکر که می‌دونه یک مدیر سایت از پوسته دستکاری شده استفاده می‌کنه، به آدرس سایت رفته و صفحه خطای ۴۰۴ رو باز می‌کنه. سپس می‌تونه با پسوردی که از قبل ست شده، دستورات دلخواهش رو توی سرور قربانی اجرا کنه.

این پسورد رمز شده هکره (به پیشنهاد آیدین، پسورد رو برای مدتی حذف می‌کنم که کسی آسیب نبینه):

در ادامه با دستورهای شرطی متفاوت، چک می‌شه که هکر از کد چه کاری رو خواسته. می‌تونه اجرای کد باشه، دانلود یک فایل باشه و یا آپلود یک فایل روی سرور باشه. با این دستورات، هکر به راحتی اسکریپت‌ها پیچیده‌تر و کاربردی‌تر روی سرور بریزه که منجر به کنترل کامل سرور بشه.

با جستجوی پسورد رمزشده، متوجه شدم همین در پشتی در اسکریپت virtual freer هم وجود داشته که یکی از کابران iranphp متوجه شده و به دیگران اطلاع داده. از اونجایی که رمز پسورد هنوز در سرویس‌های آنلاین و عمومی شکسته نشده، بعید می‌دونم کس دیگه‌ای از همین کد استفده کرده باشه و پسورد رو تغییر نداده باشه. می‌شه نتیجه گرفت که کار یک نفر بوده. اسکریپت virtual freer قابلیت اتصال به درگاه‌های پرداخت و درگاه‌های واسط پرداخت داره و در تعداد زیادی از سایت‌های فروش وی‌پی‌ان و کارت شارژ و مانند اون استفاده شده.

پس از گزارش من در توییتر، سایت وردپرس فارسی بلافاصله لینک دانلود پوسته‌های مشکل‌دار رو غیرفعال کرد و به کاربران اطلاع داد که از این پوسته‌ها استفاده نکنند. غیر از Modern Style پوسته P30Temp هم همین در پشتی رو داشت.

با توجه به اینکه تاریخ تغییر فایل‌های حاوی در پشتی مطابق با آخرین آپدیت اعلام شده و نیز تاریخ آخرین تغییر بقیه فایل‌های پوسته نبود، به این نتیجه رسیدم که قراردادن در پشتی کار طراح پوسته و مترجم نبوده و به احتمال زیاد فرد سومی با استفاده از دسترسی که داشته (ممکنه این دسترسی رو پس از هک سایت وردپرس فارسی به دست‌آورده بوده) این تغییرات رو انجام داده.

کسی که این در پشتی رو کار گذاشته از ایمیل infocallpro@gmail.com برای خبرگرفتن از درهای پشتی فعال استفاده می‌کنه. اگر جایی با این آدرس ایمیل برخورد کردید، به من اطلاع بدید تا موارد خطر احتمالی رو بررسی کنم.