Только за последний месяц специалисты зафиксировали более 5 млн попыток взлома сайтов.
Злоумышленники, управляющие сетью из более чем 20 тыс. инфицированных сайтов на WordPress, используют их для атак на другие ресурсы под управлением WordPress. По данным компании Defiant, для взлома сайтов операторы ботнета используют перебор по словарю (вид брутфорс-атаки, при котором подбор пароля осуществляется путем перебора всех значений из текстового файла cо всевозможными видами слов и транслитераций). Только за последний месяц специалисты зафиксировали более 5 млн попыток входа на «чистые» сайты.
Благодаря ошибкам, допущенным организаторами кампании в брутфорс-скриптах и при реализации механизмов авторизации для панели администратора, исследователям удалось получить представление об инфраструктуре ботнета. Управление осуществляется с помощью четырех C&C-серверов, передающих инструкции через сеть из более чем 14 тыс. прокси-серверов, арендованных на best-proxies[.]ru, которые затем отправляют информацию скриптам на уже зараженных сайтах. На основе полученного списка целей скрипты формируют перечень паролей и используют их для авторизации в учетной записи администратора на атакуемых сайтах.
Исследователи уже передали собранные данные правоохранительным органам, однако отключить управляющие серверы пока не удалось, поскольку они располагаются на хостинге HostSailor, позиционируемым как «пуленепробиваемый». Сервис известен тем, что не реагирует на подобные запросы, и вероятность содействия его администрации практически нулевая.
Пуленепробиваемый хостинг (bulletproof hosting) — виртуальный хостинг или выделенный сервер, владельцы которого лояльно относятся к содержимому размещенных на нем сайтов и не реагируют на обращения правообладателей и других заинтересованных сторон.
Гравитация научных фактов сильнее, чем вы думаете