Фахівці з кібербезпеки The Shadowserver Foundation та WatchTowr Labs провели успішну превентивну операцію, яка дозволила запобігти потенційній масштабній кібератаці. Експерти виявили та перехопили контроль над серією доменів з вичерпаним терміном реєстрації, які використовувались для керування понад 4000 активними бекдорами в критично важливих інформаційних системах.
Аналіз масштабів загрози та вразливих систем
Дослідження показало, що значна частина шкідливого програмного забезпечення була впроваджена в інформаційні системи державних установ та освітніх закладів. Особливу небезпеку становив той факт, що виявлені бекдори зберігали повну функціональність та могли активуватися будь-яким зловмисником, який отримав би контроль над відповідними командними доменами.
Географія поширення кіберзагрози
Серед скомпрометованих об’єктів критичної інфраструктури виявлено системи в наступних країнах:
– Державні та судові органи КНР
– Судова система Нігерії
– Урядові мережі Бангладеш
– Освітні заклади Таїланду, Китаю та Південної Кореї
Класифікація виявлених шкідливих програм
В ході дослідження було ідентифіковано кілька типів шкідливого програмного забезпечення, включаючи:
– r57shell – класичний інструмент віддаленого доступу
– c99shell – розширений бекдор з функціоналом файлового менеджера та можливостями підбору паролів
– China Chopper – спеціалізований веб-шелл, який часто використовується APT-групами
Окремо варто відзначити виявлення бекдора, що має схожість з інструментарієм групи Lazarus, хоча експерти припускають можливість повторного використання коду іншими зловмисниками.
Реалізовані заходи захисту
Для запобігання подальшому зловмисному використанню скомпрометованих систем, WatchTowr Labs передали контроль над перехопленими доменами організації The Shadowserver Foundation. Наразі впроваджено активну систему блокування всього трафіку від інфікованих систем до цих доменів, що ефективно нейтралізує потенційну загрозу.
Цей інцидент яскраво демонструє критичну важливість постійного моніторингу кіберпростору та своєчасного оновлення систем захисту. Організаціям рекомендується впровадити регулярний аудит доменної інфраструктури та систем управління, а також забезпечити належний контроль за термінами реєстрації доменів для запобігання подібним ситуаціям у майбутньому.
