В сфере киберпреступности доверие - редкий и хрупкий товар. Оно особенно важно для сервисов, предлагающих "маскировку" вредоносного кода от систем защиты, поскольку их клиенты по сути передают свои самые ценные инструменты в руки неизвестных операторов. Однако, как показывает свежий инцидент, даже те, кто продаёт технологическую "невидимость", порой демонстрируют поразительную неспособность защитить собственные цифровые активы. Исследовательская группа GHOST обнаружила, что платформа под названием "Epstein Crypter", позиционирующая себя как сервис по созданию полностью необнаруживаемых (Fully Undetectable, FUD) версий известных программ-шпионов, имела критическую уязвимость, позволявшую любому зарегистрированному пользователю получить полную базу данных всех клиентов.
Описание
Сервис, размещённый на домене epsteincrypter[.]su (использующем устаревший домен верхнего уровня .su, популярный в киберпреступной среде), предлагал шифрование .NET-полезных нагрузок для таких известных инструментов удалённого администрирования (RAT), как Darkcomet, Pulsar и Quasar. Его оператор под псевдонимом "ace" использовал инфраструктуру "пуленепробиваемого" хостинга 1337 Services GmbH в Нидерландах, маскируя реальный сервер за Cloudflare. Однако, как выяснили исследователи, ключевой API-эндпоинт платформы "/api/users.php" был сконфигурирован с нарушением контроля доступа. Это классическая уязвимость типа Insecure Direct Object Reference (IDOR), входящая в топ OWASP A01:2021. Любой авторизованный пользователь, даже с бесплатной учётной записью, отправляя GET-запрос по этому адресу, получал в ответ полный список из 40 зарегистрированных клиентов с деталями: ролями, балансом кредитов, статусом блокировки и временем регистрации.
Этот провал в безопасности выглядит особенно иронично, учитывая специфику услуги. Клиенты криптера платят за то, чтобы их вредоносное ПО оставалось скрытым от систем защиты, но при этом их собственные данные как заказчиков криминального сервиса оказались абсолютно открытыми. Как метко выразился первоначальный информатор, привлекший внимание к проблеме, "это сделано настолько хреново". Помимо утечки базы пользователей, анализ инфраструктуры выявил и другие риски. После первоначальной публикации группе GHOST удалось идентифицировать исходный сервер, обойдя защиту Cloudflare с помощью поиска по сертификатам в Shodan. Им оказался IP-адрес 45[.]154[.]98[.]123, размещённый у того же "пуленепробиваемого" провайдера. Прямой доступ к этому серверу открывал интерфейс phpMyAdmin версии 5.2.2 для управления базой данных MySQL, защищённый только паролем для учётной записи root. Хотя стандартные комбинации логин-пароль не сработали, само наличие такой панели управления на открытом для интернета сервере, обслуживающем криминальный сервис, является грубейшей ошибкой.
Технический стек проекта (React/Vite на фронтенде, PHP и MySQL на бэкенде) и наличие тестовых аккаунтов оператора указывают на относительно низкий уровень сложности разработки, характерный для одиночного энтузиаста. Картина, складывающаяся из данных, подтверждает это: за два месяца работы сервисом воспользовались лишь 40 реальных пользователей, из которых только у четырёх был ненулевой баланс кредитов, необходимых для компиляции полезных нагрузок. Общее количество кредитов в системе составляло 83. Крупнейшим клиентом был пользователь "welldays" с 69 кредитами, что может указывать на его особые отношения с оператором. Другие примечательные учётные записи включали "virtualfuckingmodz" (возможно, связанный со сценой читерства в играх), "imfud" (с самоироничным ником) и "arquivehacks" с возможным бразильским происхождением.
Важно отметить, что другие административные эндпоинты API, такие как "update_credits.php" или "ban_user.php", имели проверки прав доступа, что доказывает: разработчик в принципе понимал, как реализовать контроль. Однако он упустил ключевой эндпоинт, что и привело к утечке. Дополнительный риск создавали оставленные на сервере служебные файлы, такие как ".env" (содержащий переменные окружения, включая, вероятно, ключи к базе данных) и каталог ".git". Их прямое скачивание блокировалось брандмауэром веб-приложений (WAF) Cloudflare, но в случае компрометации конфигурации или раскрытия исходного IP-адреса эти данные мгновенно стали бы доступны.
Последствия этой находки выходят за рамки простого конфуза для оператора "ace". Для клиентов сервиса утечка означает полную деконспирацию: их псевдонимы, время активности и финансовые взаимодействия с криптером теперь известны. Это ставит под вопрос саму основу доверия к подобным "теневых" SaaS-услугам. Если разработчик не смог обеспечить базовую безопасность собственного веб-приложения, нет никаких гарантий, что загружаемые в него вредоносные полезные нагрузки не копируются, не анализируются и не передаются третьим сторонам, или что алгоритм шифрования действительно обеспечивает заявленную "необнаруживаемость". Инцидент служит наглядным напоминанием для специалистов по информационной безопасности: даже примитивные на первый взгляд киберпреступные инфраструктуры требуют тщательного мониторинга, так как их уязвимости могут стать источником ценных разведывательных данных о тактиках, инструментах и клиентской базе злоумышленников. В данном случае "пуленепробиваемым" оказался лишь хостинг, но никак не уровень программирования, что в очередной раз доказывает: технологическая сложность атаки далеко не всегда коррелирует с профессионализмом тех, кто её организует.
Индикаторы компрометации
IPv4
- 188.114.96.0
- 188.114.97.0
- 45.154.98.123
Domains
- epsteincrypter.su
- ns3.he.net
