Специалисты по кибербезопасности из The Shadowserver Foundation и WatchTowr Labs провели масштабную операцию по предотвращению потенциальной кибератаки, перехватив контроль над множеством доменов с истекшим сроком регистрации. Эти домены использовались для управления более чем 4000 активными бэкдорами, которые, несмотря на длительное бездействие, сохраняли свою функциональность.
Масштабы и характер угрозы
В ходе исследования эксперты обнаружили, что значительная часть вредоносного ПО была развернута на серверах государственных учреждений и образовательных организаций. Особую опасность представлял тот факт, что эти бэкдоры были готовы выполнять команды от любого оператора, получившего контроль над соответствующими доменами управления.
География компрометации
Среди скомпрометированных систем были выявлены объекты критической инфраструктуры в нескольких странах:
— Правительственные системы Китая, включая судебные органы
— Судебная система Нигерии
— Государственные сети Бангладеш
— Образовательные учреждения Таиланда, Китая и Южной Кореи
Типы обнаруженных бэкдоров
Исследователи идентифицировали несколько разновидностей вредоносного ПО:
— r57shell — классический инструмент для удаленного доступа
— c99shell — продвинутый бэкдор с функциями управления файлами и возможностями брутфорса
— China Chopper — специализированный веб-шелл, часто ассоциируемый с APT-группировками
Также был обнаружен бэкдор, предположительно связанный с группировкой Lazarus, хотя эксперты считают, что это может быть результатом переиспользования инструментария другими злоумышленниками.
Механизм защиты
WatchTowr Labs передали управление перехваченными доменами организации The Shadowserver Foundation для предотвращения их возможного захвата киберпреступниками в будущем. В настоящее время Shadowserver осуществляет блокировку всего трафика, направляемого скомпрометированными системами на эти домены, что эффективно нейтрализует потенциальную угрозу.
Данный инцидент демонстрирует критическую важность мониторинга и своевременного обновления систем безопасности, а также необходимость регулярных проверок инфраструктуры на наличие устаревших или неактивных компонентов, которые могут представлять угрозу для организации. Рекомендуется проводить регулярный аудит доменов и систем управления, чтобы предотвратить подобные ситуации в будущем.
