Plus de 4 000 portes dérobées abandonnées mais toujours actives sur le Web ont été détournées et leur infrastructure de communication s’est effondrée après que les chercheurs ont enregistré des domaines expirés utilisés pour les commander.
Certains des logiciels malveillants en direct (shells Web) ont été déployés sur des serveurs Web de cibles de premier plan, y compris des systèmes gouvernementaux et universitaires, prêts à exécuter des commandes de quiconque contrôle les domaines de communication.
En collaboration avec la Fondation Shadowserver, des chercheurs de la société de sécurité offensive WatchTowr Labs ont empêché ces domaines et les victimes correspondantes de tomber entre les mains d’acteurs malveillants.
Trouver des milliers de systèmes piratés
Les portes dérobées sont des outils malveillants ou du code implanté sur un système compromis pour permettre un accès et un contrôle à distance non autorisés. Les acteurs de la menace les utilisent généralement pour un accès persistant et pour exécuter sur le système compromis des commandes qui favoriseraient l’attaque.
Les chercheurs de WatchTowr ont commencé à rechercher des domaines dans divers shells Web et ont acheté ceux qui avaient expiré, prenant essentiellement le contrôle des portes dérobées.
Après avoir mis en place un système de journalisation, le logiciel malveillant abandonné mais toujours actif a commencé à envoyer des demandes qui ont permis aux chercheurs d’identifier au moins certaines des victimes.
Après avoir enregistré plus de 40 domaines, les chercheurs ont reçu des communications de plus de 4 000 systèmes compromis tentant de « téléphoner à la maison ». »
Les chercheurs ont trouvé plusieurs types de portes dérobées, y compris le r57shell « classique », le c99shell plus avancé, qui offre des capacités de gestion de fichiers et de forçage brutal, et le shell Web « China Chopper » qui est souvent lié à des groupes APT.
Le rapport mentionne même une porte dérobée qui présentait un comportement associé au groupe Lazarus, bien qu’il précise plus tard qu’il s’agissait probablement d’une réutilisation de l’outil de l’auteur de la menace par d’autres.
Parmi l’ensemble varié de machines piratées, WatchTowr a trouvé plusieurs systèmes au sein de l’infrastructure gouvernementale chinoise, y compris des tribunaux, un système judiciaire gouvernemental nigérian compromis et des systèmes dans le réseau gouvernemental du Bangladesh.
De plus, des systèmes infectés ont été trouvés dans des établissements d’enseignement en Thaïlande, en Chine et en Corée du Sud.
WatchTowr a confié la responsabilité de la gestion des domaines détournés à la Fondation Shadowserver pour s’assurer qu’ils ne seront pas disponibles pour le rachat à l’avenir. Shadowserver bloque désormais tout le trafic envoyé des systèmes piratés vers ses domaines.
Les recherches de WatchTowr, bien que non complexes, montrent que les domaines expirés provenant d’opérations malveillantes pourraient toujours servir de nouveaux cybercriminels, qui obtiendraient également certaines victimes en enregistrant simplement les domaines de contrôle.