О тех, кто причиняет добро
18 сентября 2020
Иногда мы употребляем выражение «сапожник без сапог» - когда пишем о злоумышленниках, которые атакуют огромные компании и при этом не способны обеспечить собственную защиту. Зачастую такие недочеты дают шанс «благородным хакерам», которые, как считается, выступают на стороне добра.
Неизвестный хакер-мститель саботирует работу крупного ботнета Emotet, заменяя полезную нагрузку анимированными GIF-файлами — и таким образом эффективно предотвращая заражение жертв, пишет ZDNet.
Активность Emotet отслеживает группа из более 20 добропорядочных хакеров Cryptolaemus. Ежедневные обновления публикуются на официальном сайте и в твиттере.
По их данным, некий «народный мститель» теперь подменяет около 25% полезных нагрузок Emotet.
Банда Emotet в курсе проблемы. По словам члена группы Cryptolaemus Джозефа Рузена, в четверг ботнет отключили на техническое обслуживание: судя по всему, хакеры пытались отключить доступ злоумышленника к своей сети шеллов.
Вот такое напряженное противостояние между отпетыми злодеями и… хакерами.
Для пополнения армии ботов сначала рассылаются миллионы спамерских писем, которые содержат либо вредоносный документ Office, либо ссылку на вредоносный файл, который пользователям предлагается загрузить на свои компьютеры.
Когда пользователи открывают один из этих файлов и нажимают ссылки внутри файла или включают функцию «Включить редактирование», чтобы разрешить выполнение макросов, автоматизированные скрипты загружают вредоносную программу Emotet и различные её компоненты.
Причиной заражения становится отсутствие антиспама – это раз. И включенные макросы в офисных документах – два. Макросы часто бывают необходимы, но далеко не всем. Почему эта возможность оказывается включена у других?
В качестве хостинга для поставки этих файлов используются взломанные сайты WordPress, где группировка Emotet временно хранит компоненты своих вредоносных программ (или «полезную нагрузку» на жаргоне инфобеза). Эти временные хранилища также являются ахиллесовой пятой Emotet.
Группа Emotet контролирует взломанные сайты через веб-шеллы, установленные на взломанных серверах. Но хакеры используют не самые лучшие шеллы. Ещё в прошлом году специалисты обратили внимание, что Emotet использует известные опенсорсные скрипты с Github и одинаковый пароль для всех шеллов, подвергая свою инфраструктуру лёгким атакам, если подобрать пароль.
Крутой опасный ботнет – и один и тот же пароль! Естественно, его подобрали.
Плюс, раз злоумышленники проникли на уязвимый сайт, смогут сделать это и хакеры – чтобы снести инструменты злоумышленников.
Данное действие подпадает под статью УК РФ, и мы не рекомендуем совершать его.
Ну и опять обращает на себя внимание тот факт, что злоумышленники используют не собственный код, а общедоступные проекты. Да, жаждущие славы создатели эксплойтов торят дорогу недоучкам-злоумышленникам, которые не в состоянии даже задать разные пароли.
К сожалению, не все творцы добра так добры. Некоторые занимаются вандализмом для привлечения внимания.
Но вернемся к действиям сил добра:
Тысячи незащищённых баз данных, выставленных на всеобщее обозрение в интернете, стали мишенью автоматизированной атаки Meow («мяу»), которая уничтожает данные без каких-либо объяснений, пишет Bleeping Computer.
Впервые атака была замечена на прошлой неделе, когда начали исчезать БД в инстансах Elasticsearch и MongoDB без каких-либо записок с пояснениями или требований выкупа. Затем атаки распространились на другие типы БД и на файловые системы, открытые для общего доступа в интернет.
Одним из первых публично известных примеров атаки «Мяу» стала база данных Elasticsearch, принадлежащая гонконгскому VPN-провайдеру, который заявлял, что не хранит никаких логов, но по недосмотру выложил в интернет 1,2 терабайта конфиденциальных данных своих пользователей.
После обнаружения базы доступ к ней закрыли, но через пять дней она снова стала открытой. Во второй раз владельца уже никто не предупредил о неправильной настройке инстанса. Вместо этого базу «мяукнули» — и почти все записи были стерты.
Поиск в Shodan выдаёт и вовсе 10 814 баз данных с записями 'meow'. Более половины из них — это Elastic и MongoDB. Более 170 баз данных удалено у российских хостеров, таких как Mail.ru, Selectel, ЗАО «Хостинговые Телесистемы» и проч.
А вот что говорит «глас народа» в комментариях, где развернулась целая дискуссия о правомерности подобных действий:
- Есть как минимум статья 272 УК РФ: неправомерный доступ к компьютерной информации. Уверен, что и в других государствах есть аналогичные.
- А в чём неправомерность, если к данным полный доступ для всех? Для получения такого доступа ведь не пришлось предпринимать каких-то действий, данные вот они лежат посреди дороги, бери-нехочу.
- Размещая какую-либо информацию на любом ресурсе доступном по любому протоколу вы априори предоставляете право получения этой информации. Но если вы (даже неосознанно) разрешаете ее изменять, вы делегируете право ей распоряжаться.
- Если вы зашли в магазин через парадный вход (порт 80, условно) — это нормально. А если вы пытаетесь зайти через задний вход или пытаетесь пройти в помещения персонала (неправомерный доступ к БД) — вы однозначно не правы, даже если там не висит надписи «Доступ запрещён».
«Если вы (даже неосознанно) разрешаете ее изменять, вы делегируете право ей распоряжаться». Если вы не закрыли дверь, то вы разрешили войти в квартиру посторонним? Удивительно, но множество людей считает именно так! Поразительная юридическая неграмотность…
Антивирусная правДА! рекомендует
То, что откровенных злоумышленников следует опасаться, – это факт. Но получается, что угрозу представляют и те любопытствующие, кто полагает, что вы разрешили доступ к своим данным для всех подряд. И да, им за это ничего не будет – при выполнении определенных условий:
Деяние, ответственность за которое предусмотрено ст. 272 УК РФ, должно состоять в неправомерном доступе к охраняемой законом компьютерной информации (объективная сторона преступления), который подразумевает совершение последовательности действий, совершенных из корыстных побуждений или если они повлекли за собой уничтожение, блокирование, модификацию либо копирование информации, нарушение работы компьютера, системы компьютеров или их сети (ч.2).
Обязательным признаком состава данного преступления является наступление вредных последствий для владельца либо информационно-вычислительной системы – уничтожение, блокирование, модификацию либо копирование информации, нарушение работы компьютера, системы компьютеров или их сети.
То есть те, кто ничего не поломал и не скопировал, а просто посмотрел ваши личные фотки, ответственности не понесут. А каково будет вам? Поэтому – защищайтесь!
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
vkor
07:25:45 2020-09-21
Большинству - фиолетово.
Кому - нет, уже защищаются, поверьте.
Пaвeл
08:52:37 2020-09-20
Tatiana
21:43:39 2020-09-19
Karnegi
18:31:18 2020-09-19
gtnk2006
13:50:33 2020-09-19
Неуёмный Обыватель
01:00:50 2020-09-19
Lia00
00:16:20 2020-09-19
mfaer
22:07:02 2020-09-18
L1t1um
21:19:53 2020-09-18
Dvakota
21:07:00 2020-09-18
Геральт
20:43:46 2020-09-18
Альфа
20:40:24 2020-09-18
Шалтай Александр Болтай
20:32:29 2020-09-18
— Зла.
Toma
20:16:33 2020-09-18
Masha
20:00:27 2020-09-18
Dmur
19:51:07 2020-09-18
Karnegi
19:39:57 2020-09-18
orw_mikle
18:56:37 2020-09-18
admin_29
16:11:55 2020-09-18
Татьяна
15:09:40 2020-09-18
Денисенко Павел Андреевич
15:07:29 2020-09-18
anatol
14:57:35 2020-09-18
EvgenyZ
14:21:21 2020-09-18
Любитель пляжного футбола
12:29:04 2020-09-18
vinnetou
11:24:20 2020-09-18
Пaвeл
11:21:06 2020-09-18
DrKV
11:11:16 2020-09-18
Родриго
10:57:22 2020-09-18
Родриго
10:55:23 2020-09-18
Пардон за пиратский юмор...
ka_s
09:59:20 2020-09-18
dyadya_Sasha
09:55:09 2020-09-18
tigra
08:48:51 2020-09-18
Alexander
08:36:59 2020-09-18
Вот для глаз приятное,
А на вкус - опасное...
Как-то хакер шалунишка,
Милый он такой парнишка,
Вдруг секретик увидал,
Сам не взял, но разболтал
Кентавры хитрые пришли
Тот секретик унесли.
Что же, хакер - в стороне?
Думать эдак, - не по мне.
Вор иль бота проводник,
Если всё же в сеть проник,
Надлежит их всех поймать!
Быстро строго наказать!
По закону али нет, -
Должен он нести ответ!
Будет это справедливо!
Для ботнетов, - особливо!
maestro431
08:35:11 2020-09-18
Zserg
08:15:16 2020-09-18
GREEN
08:04:46 2020-09-18
И так всегда и везде. Нет только черного, но и нет только белого. Но ... есть ЗАКОН!
Dura lex, sed lex ...
Vlad X
07:47:34 2020-09-18
если дверь открыта,обязательно надо заглянуть.
achemolganskiy
07:21:02 2020-09-18
Slava90
06:39:27 2020-09-18
Sergey
06:33:08 2020-09-18
Coolander
06:02:43 2020-09-18