Дослідники з watchTowr Labs виявили понад 4000 активних бекдорів на скомпрометованих системах урядів і університетів по всьому світу, використовуючи покинуті домени та занедбану інфраструктуру.
Команда watchTowr Labs провела масштабне дослідження, зосереджене на використанні покинутих доменів, які були частиною бекдорів на системах хакерів. Ідея полягала в тому, щоб взяти під контроль занедбані бекдори, через які хакери отримували доступ до скомпрометованих систем. Для цього дослідники зареєстрували понад 40 покинутих доменів, які використовувалися у старих веб-шелах для зв’язку з атакуючими.
Після реєстрації доменів та перенаправлення трафіку на свої сервери, дослідники виявили понад 4000 активних бекдорів на різних системах, серед яких:
Окрім цього, команда отримала дані про використання старих популярних веб-шелів, таких як r57shell та c99shell, які мали вбудовані бекдори для «контролю хакерів хакерами». Виявлені бекдори дозволяли спостерігати за тим, як хакери самостійно заражають системи, а також давали можливість отримати доступ до цих систем із мінімальними зусиллями.
Подібна методика вже використовувалася раніше, коли команда watchTowr провела дослідження з підміни домену, що дозволило їм отримати довірені сертифікати TLS/SSL. Це призвело до глобальних змін у підходах до видачі сертифікатів, ініційованих компанією Google.
Веб-шели, такі як r57shell і c99shell, історично широко використовувалися хакерами та кіберзлочинцями для подальших атак після первинного злому серверів. Часто вони мали приховані бекдори, що дозволяло авторам веб-шелів отримувати доступ до скомпрометованих систем, навіть якщо основний хакер захистив бекдор паролем.
Дослідження watchTowr Labs підкреслює небезпеку занедбаної інфраструктури та покинутих доменів, які можуть бути використані для контролю скомпрометованих систем. Компанія закликає організації регулярно переглядати свої активи та забезпечувати їх безпеку.
