Не только в даркнете, но даже в белом интернете так много привлекательного и простого в эксплуатации хакерского ПО! В современном мире осуществить элементарную киберпреступную операцию могут даже дети. Что они и делают, зачастую во вред себе.
Используя готовое вредоносное ПО со встроенной панелью администрирования, малоопытные «хакеры» ставят под угрозу свою безопасность и инфицируют собственные компьютеры. А также оставляют в инфраструктуре вредоносного ПО данные, позволяющие их идентифицировать (возможно взамен других более серьезных товарищей) и делающие их уязвимыми к дельнейшим кибератакам.
На различных форумах wannabe-хакерам (которых метко окрестили «скрипт-кидди»)предлагаются вредоносные программы с уже встроенной C&C-инфраструктурой. Приобрести подобное ПО очень легко – открытые «хакерские» форумы пестрят рекламой дешевых вредоносных инструментов, а арендовать хостинговые сервисы можно за сравнительно небольшую сумму.
Исследователь кибербезопасности MisterCh0c ежедневно изучает панели администраторов вредоносного ПО. На днях он сообщил в Twitter об операторе инфостилера OrangeFox. MisterCh0c наткнулся на панель администрирования OrangeFox в поисках панели BlackNET – вредоносного ПО на языке PHP, доступного на GitHub и различных форумах.
Как выяснилось, оператором OrangeFox, BlackNET и ряда других ботнетов, в том числе Arkei, является один и тот же человек. Более того, исследователь нашел в логах отчетливый снимок «хакера», сделанный web-камерой его компьютера. Им оказался подросток, глядящий прямиком в камеру. Таким образом, физически идентифицировать такого «опытного киберпреступника» оказалось элементарно.
Как сообщают эксперты NewSky Security, хакер под псевдонимом Scarface входит в топ-20 наиболее значимых фигур на киберпреступной сцене в сфере взлома IoT и умных домов. Scarface часто продает свои эксплоиты так называемым скрипт-кидди (малоопытным «хакерам») и имеет хорошую репутацию. Однако обманывать детишек он отнюдь не гнушается, и часто продает известные эксплоиты под видом уязвимостей нулевого дня и скрипты, которые заражены бэкдорами.
В рассматриваемом примере, хакер Scarface продает эксплоит для известной уязвимости в маршрутизаторе ZTE ZXV10 H108L, также содержащий встроенный бэкдор для взлома того, кто его использует. Дело в том, что эксплуатация уязвимости в маршрутизаторе ZTE предполагает использование аккаунта-бэкдора для входа в систему после внедрения команды в manager_dev_ping_t.gch. Созданный Scarface эксплоит действительно предназначен для данной уязвимости и позволяет достичь цели, однако имеет некоторые отличительные особенности. Так, он атакует устройства не через стандартные порты 80/8080, а через порт 8083. Код также содержит переменную login_payload для использования бэкдора и command_payload для внедрения команд.
Ну и самое интересное, бэкдор от Scarface содержит еще одну переменную – auth_payload, содержащую бэкдор, зашифрованный с помощью base64. Этот бэкдор выполняется незаметно, отдельно от процесса эксплуатации уязвимости в маршрутизаторе.
В заражении ботнетов-конкурентов бэкдорами есть определенный смысл: таким образом, крупный игрок на хакерской сцене наподобие Scarface может повелевать всеми созданными своими клиентами ботнетами, или разрушить их для устранения конкуренции. Первый вариант представляется куда более грандиозным и устрашающим.