ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Российский эксперт обнаружил ботнет из веб-серверов



Российский независимый эксперт в области информационной безопасности обнаружил кластер из скомпрометированных хакерами веб-серверов, работающих под управлением операционной системы Linux. Хакерская инфраструктура представляет собой уникальную разновидность традиционного ботнета и используется для доставки вредоносного ПО на компьютеры обитателей глобальной сети.



«Каждая из инфицированных систем является физическим или виртуальным выделенным сервером, обеспечивающим работу вполне легального сайта» - объясняет Денис Синегубко из Магнитогорска – «Однако, помимо сервера Apache, отвечающего за доставку безобидного контента, на каждой этих машин запущен дополнительный веб-сервер, известный как nginx, в чьи обязанности входит распространение хакерского кода».

Таким образом, по словам Дениса Синегубко, вниманию экспертов предложен тот самый долгожданный серверный ботнет - группа «зомбированных» веб-серверов с единым центром управления, которая используется для осуществления вредоносной деятельности. Кстати, помимо прочего, эта инфраструктура подключена к более привычной хакерской сети из захваченных домашних ПК.

Для передачи на клиентские компьютеры легитимного веб-трафика все зараженные машины, обследованные Денисом Синегубко, использовали стандартный TCP-порт 80. Однако, параллельно с этим действием, через порт 8080 на пользовательский ПК поступали вредоносные приложения.

Экспертам пока не удалось установить, каким образом серверы оказались скомпрометированы. Синегубко склонен предполагать, что невольными пособниками хакеров стали беспечные ИТ-специалисты, допустившие утечку «админских» паролей. Из за малых размеров обнаруженной инфраструктуры (сеть состоит всего из сотни узлов) исследователи также не могут получить точное представление о реальных целях и намерениях злоумышленников.


ИСТОЧНИК
12th September 2009 00:32 GMT