Поделиться
Перехват всего лишь просроченных 40 доменов позволил нейтрализовать 4000 бэкдоров
Специалисты WatchTowr Labs перерегистрировали на себя просроченные домены, с которых осуществлялось управление вредоносными «закладками» в инфраструктуре различных организаций. Более 4 тыс. бэкдоров больше никому не причинят вреда.
Операция «Перехват»
Эксперты организаций The Shadowserver Foundation и WatchTowr Labs смогли нейтрализовать около 4 тыс. бэкдоров, перерегистрировав на себя просроченные домены, в которых размещалась управляющая инфраструктура вредоносов.
В публикации Bleeping Computer эти бэкдоры названы «заброшенными, но функциональными», причем некоторые из них обеспечивали несанкционированный доступ к высокопрофильным ресурсам, в том числе, правительственным системам и инфраструктуре университетов. В любой момент каждый, кто мог бы получить доступ к контрольным серверам этих веб-шеллов (а именно в таком виде были реализованы бэкдоры), мог бы отправить им произвольную команду и нанести ущерб целевым системам.
Специалисты WatchTowr, компании, которая специализируется на «наступательной киберобороне», попросту перерегистрировали на себя домены до того, как этим озаботились киберзлоумышленники. Получив контроль над ресурсом, с которого осуществлялось управление вредоносным ПО, эксперты смогли установить хотя бы некоторую часть жертв. Им потребовалось перерегистрировать всего чуть более 40 доменов, чтобы обнаружить входящие соединения от более чем 4 тыс. скомпрометированных бэкдорами систем, опрашивавших контрольные серверы на предмет инструкций.
Богатый улов
Специалисты выявили сразу несколько типов бэкдоров, в том числе «классические» r57shell, более продвинутые c99shell, которые предлагают возможность манипуляций с файлами и проведения брутфорс-атак, а также веб-шеллы типа «China Chopper», которые нередко используются APT-группами.
В публикации упоминается бэкдор, чье поведение типично для вредоносных инструментов группировки Lazarus Group, хотя не исключено, что в данном случае речь шла лишь о повторном использовании того же инструмента кем-то еще. Что касается жертв, то множество «закладок» обнаружилось в системах правительства и судов Китая, инфраструктуре судебной системы Нигерии, а также правительственных сетях Бангладеша. В числе зараженных систем также обнаружились образовательные учреждения Китая, Таиланда и Южной Кореи.
«Исследование WatchTowr акцентирует внимание на масштабах и цифрах, не давая комментариев на тему происхождения этих бэкдоров, за исключением скриншотов, из которых явственно следует, что как минимум некоторые из них – родом из доменной зоны .ru, – говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. – Впрочем, киберкриминал везде одинаков, и чем меньше у него пространства для маневров – и чем меньше доменов находятся под его контролем, – тем лучше».
Сотрудники WatchTowr передали все сведения и реквизиты управления перехваченными доменами The Shadowserver Foundation, некоммерческой организации, которая занимается вопросами кибербезопасности. Сейчас эта НКО перенаправляет весь траффик со скомпрометированных систем к своим доменам и обещает сделать все, чтобы перехваченные домены больше не попали в руки киберкриминала.
Поделиться
Короткая ссылка
