8220 Gang: Китайская группа хакеров создала ботнет из 30 000 устройств для майнинга криптовалюты

8220 Gang впервые была замечена в 2018 году аналитиками компании Talos. Название группы происходит от порта 8220, который изначально использовался для командного управления ботнетом (C2). С момента своего появления группа значительно эволюционировала: если раньше она применяла майнер WhatMiner, заимствованный у другой хакерской группировки Rocke, то теперь использует более сложные техники атак, включая эксплуатацию уязвимостей в Docker, Hadoop, Redis, Drupal и других облачных сервисах. Анализ инфраструктуры и репозиториев GitHub позволяет предположить, что 8220 Gang состоит из китайскоговорящих злоумышленников.

Основными жертвами 8220 Gang становятся облачные серверы с неправильно настроенными или уязвимыми приложениями под управлением Linux. Группа активно использует атаки методом перебора SSH-подключений, чтобы заражать новые устройства и автоматически распространять вредоносное ПО. Особенно часто атакам подвергаются серверы, работающие на платформах AWS, Azure, Google Cloud (GCP), Aliyun и QCloud, если на них запущены уязвимые версии Docker, Confluence, Apache WebLogic или Redis. Важно отметить, что хакеры не выбирают жертв по географическому признаку – их цель – любые доступные в интернете системы с недостаточной защитой.

Процесс заражения жертв можно разделить на несколько этапов. Во-первых, злоумышленники проводят очистку системы, удаляя стандартные инструменты мониторинга и защиты, используемые в облачных средах. Затем загружается и настраивается вредоносное ПО, включая IRC-ботнет (Tsunami) и криптомайнер PwnRig. После этого начинается сканирование локальной сети в поисках SSH-серверов для дальнейшего распространения. Кроме того, вредоносный скрипт собирает SSH-ключи с зараженных устройств, что позволяет группировке сохранять доступ даже после перезагрузки системы.

Интересно, что код, используемый 8220 Gang, не отличается высокой сложностью – он содержит множество устаревших и нефункционирующих фрагментов, что упрощает его обнаружение. Однако это не мешает группе успешно заражать тысячи устройств. Эксперты связывают с деятельностью 8220 Gang несколько крупных кибератак, включая эксплуатацию уязвимости CVE-2022-26134.

Учитывая масштабы ботнета 8220 Gang, владельцам серверов и облачных инфраструктур рекомендуется усилить защиту своих систем: своевременно обновлять ПО, настраивать строгие правила доступа к SSH, использовать системы мониторинга и защиты от вторжений. В противном случае их серверы могут стать частью ботнета, используемого для незаконного майнинга или других киберпреступлений.

IPv4

• 51.255.171.23
• 51.79.175.139
• 89.34.27.167

Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые 8220 Gang.