Взломать, не пошевелив пальцем: «ленивые» хакеры массово атакуют критическую инфраструктуру

Более 4000 уникальных веб-шеллов используют истёкшие домены и заброшенную инфраструктуру, многие из которых привязаны к серверам, принадлежащим правительственным учреждениям и университетам. Эти системы становятся уязвимыми для захвата киберпреступниками, чьи намерения значительно отличаются от исследовательских целей специалистов по безопасности.

Команда watchTowr Labs в рамках очередного исследования обнаружила серьёзные риски, связанные с заброшенными доменными именами и инфраструктурой. В своём отчёте специалисты детально описали, как злоумышленники могут использовать чужие бэкдоры для получения доступа к системам, не тратя времени на поиск и компрометацию целей.

Генеральный директор watchTowr Бенджамин Харрис отметил, что такой подход можно описать как «массовый взлом на автопилоте». Злоумышленники используют истёкшие домены, привязанные к веб-шеллам, чтобы «пожинать плоды» чужой работы. Это позволяет им получать тот же доступ к скомпрометированным системам, что и у тех, кто изначально создавал и использовал эти инструменты.

Стоимость такого доступа минимальна — около $20 за домен. В рамках эксперимента watchTowr зарегистрировала более 40 заброшенных доменов, ранее использовавшихся в веб-шеллах. После анализа запросов к этим доменам было выявлено множество уязвимых систем, включая серверы правительств Бангладеш, Китая и Нигерии, а также университетов Таиланда, Китая и Южной Кореи.

Среди наиболее значимых примеров — сервер Федерального Высокого Суда Нигерии, к которому было привязано сразу четыре разных веб-шелла. Исследователи насчитали более 4000 скомпрометированных систем, и число продолжает расти.

Особый интерес вызвала практика «встраивания бэкдоров в бэкдоры». Некоторые популярные веб-шеллы, такие как c99shell, r57shell и China Chopper, изначально содержат скрытые функции, позволяющие их авторам получать доступ к системам, которые компрометируют другие злоумышленники.

Чтобы предотвратить дальнейшее использование заброшенных доменов, команда watchTowr передала их в управление фонду ShadowServer. Это гарантирует, что они будут использоваться только для безопасного мониторинга активности.

Исследователи отметили, что наблюдение за логами запросов в реальном времени предоставило уникальную возможность «заглянуть за кулисы» интернет-активности. Полученные данные позволяют лучше понять, как преступники используют заброшенную инфраструктуру, и помогают улучшить методы защиты.