Критический провал операционной безопасности привел к полному раскрытию инфраструктуры ботнета DDoS-as-a-Service

Инцидент демонстрирует, как единичный просмотр в операционной безопасности (OPSEC) может привести к полной декомпозиции сложной киберпреступной деятельности. Ботнет AncientNET, базирующийся на модифицированном коде Gafgyt, представляет собой классический сервис для заказных DDoS-атак. Однако его инфраструктура, размещённая у вьетнамского хостинг-провайдера BKHOST-VN по адресу 103.130.214[.]71, была сконфигурирована с фатальной ошибкой. Порт 4949, на котором работает WebDAV-сервис, оказался открыт для публичного доступа без какой-либо проверки подлинности. В результате простой HTTP-запрос возвращает полное листинг рабочей директории оператора, фактически выставляя напоказ всю внутреннюю кухню преступного предприятия.

Аналитики, которые обнаружили эту уязвимость, получили прямой доступ к критически важным данным. Среди них - полный исходный код центра управления (C2) объёмом 233 килобайта, скомпилированный бинарный файл сервера, скрипты для сборки под различные архитектуры и, что наиболее важно, несколько файлов базы данных в формате JSON. Файл "creds.json" содержит открытый текст учётных записей семи операторов ботнета, включая администратора с логином "admin". Файл "clients_cache.json" представляет собой живой манифест подключённых ботов, который автоматически обновляется по мере их проверки. На момент начала исследования в нём числилось 171 устройство, а менее чем за 12 часов их количество выросло до 252, что указывает на активный процесс заражения новых целей.

Анализ манифеста показал, что ботнет в основном состоит не из традиционных устройств "интернета вещей" (IoT), а из виртуальных частных серверов (VPS), арендованных у таких крупных провайдеров, как Hetzner, OVH, Cloudflare и Oracle. Это позволяет предположить, что основной вектор заражения - подбор слабых учётных данных SSH на публично доступных серверах, а не сканирование портов telnet, характерное для ботнетов типа Mirai. Среди скомпрометированных IP-адресов исследователи идентифицировали системы, принадлежащие Университету Арканзаса, Университету Чикаго, а также три игровых сервера компании Valve. Кроме того, в списке целей для DDoS-атак, также извлечённом из данных ботнета, значатся URL-адреса, включая сайты LGBTQ+-организаций, что указывает на целевой, а не случайный характер отдельных атак.

Исходный код центра управления раскрывает детали архитектуры сервиса. Сервер, использующий библиотеку libssh на порту 2222 для панели управления операторами, поддерживает до миллиона одновременных подключений ботов. Для распределения вредоносных полезных нагрузок используется встроенный веб-сервер civetweb. Механизм устойчивости ботнета включает в себя классический для Gafgyt процесс-дроппер, который загружает исполняемый файл, соответствующий архитектуре целевого устройства, и убивает процессы конкурирующих ботнетов. Для скрытности текущий IP-адрес C2 боты получают не напрямую, а через так называемый "мёртвый дроп" - публичную страницу на Pastebin, что является стандартным, но в данном случае провальным приёмом.

Раскрытые данные позволяют не только изучать, но и активно противодействовать ботнету. В файлах конфигурации обнаружены живые API-ключи для сторонних сервисов DDoS-атак (стрессеров) - goofystress.st и webdown.su, которые оператор AncientNET использует для усиления своих атак. Эти ключи могут быть немедленно отозваны администрацией соответствующих платформ. Цепочка атрибуции, собранная из открытых файлов, ведёт к учётным записям на Pastebin (zyreeeee3), Telegram-каналу "Ancient Downer", почтовому ящику на mail.ru и идентификатору гильдии Discord, куда отправляются логи об атаках. Эксперты отмечают, что подобный уровень полного раскрытия для действующего сервиса DDoS-as-a-Service является исключительным случаем.

Для специалистов по защите инцидент предоставляет чёткие индикаторы компрометации (IOC). Ключевым сигнатурным поведением для поиска заражения внутри сети является процесс, занимающий TCP-порт 58210 - это уникальный механизм блокировки, предотвращающий запуск нескольких копий Zyre на одной системе. Также следует обращать внимание на процессы с именами zyre, zyre2 или zyreBot. Блокировка исходящих подключений к IP-адресу C2 и публичным Pastebin-ссылкам, используемым в качестве "мёртвых дропов", позволит предотвратить как заражение, так и управление уже скомпрометированными системами. Рекомендуется провести аудит облачных и VPS-инфраструктур на предмет подверженности атакам подбора SSH-паролей, поскольку именно это, вероятно, является основным вектором первоначального проникновения.

IPv4

• 103.130.214.71
• 104.21.81.246
• 104.26.13.141
• 185.178.208.166

IPv4 Port Combinations

• 103.130.214.71:1212
• 103.130.214.71:12345
• 103.130.214.71:1313
• 103.130.214.71:2222
• 103.130.214.71:4949

Domains

• goofystress.st
• mirailovers.io
• Portmap.io
• webdown.su

Domain Port Combinations

• BaconXD-57868.portmap.host:57868

URLs

• pastebin.com/raw/30gV2uWt
• pastebin.com/raw/7vXQjepv
• pastebin.com/raw/euQsFVdL
• pastebin.com/raw/ifEadAbv
• pastebin.com/raw/vsK91Srx
• pastebin.com/raw/xcrcEZq0
• pastebin.com/raw/YBNKv3rM

Emails

• hedevis2000@mail.ru

MD5

• 8aadeaf8a3d4b3b21638b3dc511a078b

SHA1

• ff446a26be1cbc1857b98024aa845b79d0464acc

SHA256

• 1fcd2ba33df1f7d312877ccc38b3874e5b0af1a04531b73bc8657cfa85c0a4a2
• 4d69b085e44791e13d7955ffdb1b16155041a919a6151ec521a6cf5fd7ecb5a7
• 65412fae549a84301426b245ee48fe8e6a1a7c19d5f103375d5a9d668b51ab4c
• 802f78bcafbaccc3a920f2b4b2fed0f83c4023f0d2de0dc4cb53664101a53d05
• 86187dbf150d19fa3860c32744637283b1a308ace35d1e6e09495a3b981cfae4
• a206c528aa82627c1b19646cf368619ad8d550b712cb2e2fe005883ca6761d8b
• b7fb5a5d78431abfee0b69d44a8c0181df8dd588bca93694890aa8b0a3c75ab7
• b80f13e4dacd3ccc0f1a09b6d50699e9e1dcd69fca7205c09072d9b89e10009a
• db7a5fabfbcd71a90fe9df11e59c7c0bca398947fe5147790f08eaec425d5126