На скомпрометированных серверах специалисты обнаружили множество общедоступных инструментов и программ для взлома web-ресурсов.
Исследователи безопасности из подразделения ICS CERT «Лаборатории Касперского» проанализировали серверы, скомпрометированные хакерской группировкой Energetic Bear (также известной под названиями Dragonfly и Crouching Yeti) за последние несколько лет.
Группировка проявляет активность по меньшей мере с 2010 года. В основном ее целями являются компании в энергетическом и промышленном секторах. В апреле 2018 года Министерство внутренней безопасности США (DHS) и Федеральное бюро расследований (ФБР) заявили о предположительной связи Energetic Bear с российским правительством.
В текущем месяце компания Cylance опубликовала отчет о новой кампании хакеров, в ходе которой им удалось скомпрометировать один из маршрутизаторов Cisco и похитить учетные данные, что позволило группировке осуществить атаки, нацеленные на энергетические компании Великобритании.
Исследователи «ЛК» проанализировали взломанные Energetic Bear серверы во множестве стран, в том числе в России, Украине, Великобритании, Германии, Турции, Греции и США. Большинство скомпрометированных серверов использовались для кибератак, сбора пользовательских данных, а также для размещения вредоносного ПО.
В ходе атак группировка попыталась похитить различную информацию подключенных к скомпрометированным ресурсам пользователей, например, IP-адреса, логины, названия доменов и NTLM-хэш паролей, отметили эксперты.
В некоторых случаях скомпрометированные серверы использовались для проведения атак на другие ресурсы, в ходе которых злоумышленники использовали широкий набор инструментов для сканирования web-сайтов и серверов. Большая часть просканированных ресурсов находилась в России, Украине, Турции, Бразилии, Грузии, Казахстане, Швейцарии, США, Франции и Вьетнаме.
На скомпрометированных серверах специалисты обнаружили множество общедоступных инструментов, включая Nmap (утилита для сетевого анализа), Dirsearch (скрипт для принудительного поиска каталогов и файлов на сайтах), Sqlmap (программа для внедрения SQL-кода), Sublist3r (инструмент для подсчета поддоменов сайтов), Wpscan (сканер уязвимостей WordPress), Impacket, SMBTrap, Commix (поиск уязвимостей и ввод команд), Subbrute (перечисление поддоменов) и PHPMailer (отправка почты).
Исследователи также обнаружили ряд вредоносных php-файлов в различных каталогах в папке nginx, а также в рабочем каталоге злоумышленников, созданном на зараженном сервере. Там также был обнаружен модифицированный файл sshd с предустановленным бэкдором.
Заменив исходный файл sshd на зараженном сервере, злоумышленники могут использовать мастер-пароль для входа на удаленный сервер, оставляя минимальные следы.
На взломанных серверах хакеры устанавливали нужные им инструменты в разное время. Члены группировки заходили на сервер примерно в одно и то же время суток и проверяли файл журнала smbtrap в рабочие дни.
Как выяснили исследователи, в большинстве случаев группировка выполняла задачи, связанные с поиском уязвимостей и кражей данных для аутентификации.
«С некоторой степенью уверенности можно предположить, что группа работает в интересах или принимает заказы от сторонних клиентов, выполняя первоначальный сбор данных, их хищение и подготовку системы к осуществлению кибератаки», - заключили специалисты.
Лечим цифровую неграмотность без побочных эффектов