В мире киберпреступности редко удаётся заглянуть в операционный центр активной атаки так, будто злоумышленники сами оставили дверь открытой. Однако именно это и произошло: исследователи обнаружили полностью незащищённую панель управления ботнетом, которая занимается массовым подбором учётных данных к аккаунтам Twitter/X. Панель, не требующая никакой аутентификации, раскрывает всю инфраструктуру атаки, включая IP-адреса 18 рабочих серверов и пароли к ним в открытом виде, статистику в реальном времени и механизмы управления. Этот инцидент - наглядная демонстрация того, как пренебрежение базовыми принципами безопасности со стороны злоумышленников оборачивается против них самих, одновременно предоставляя уникальные данные о масштабах угрозы.
Описание
Панель управления с красноречивым названием "Twitter Checker Master Panel - FULL FIX v2.3" была обнаружена на IP-адресе в Германии, принадлежащем хостинг-провайдеру Hetzner. Приложение, написанное на Python с использованием фреймворка Flask, было развёрнуто без какого-либо механизма проверки подлинности. Это не ошибка конфигурации - в коде попросту отсутствуют функции входа или проверки сессии. Злоумышленник полагался на безопасность через неясность, рассчитывая, что никто не найдёт сервис на нестандартном 5000-м порту. Это предположение оказалось фатальным.
Через открытые API-интерфейсы панели любой желающий может получить полный контроль над операцией. Ключевой эндпоинт "/api/servers" возвращает список всех рабочих серверов с их IP-адресами и паролями для root-доступа по SSH в открытом виде. Другие интерфейсы позволяют загружать списки логинов и паролей (так называемые "комбо-листы"), скачивать результаты успешных взломов, а также запускать или останавливать процесс проверки на всех серверах. Исследовательская группа GHOST [зафиксировала] активность этой инфраструктуры 10 апреля 2026 года, наблюдая за работой ботнета в течение 12 минут.
За этот короткий промежуток времени система проверила 722 763 пары учётных данных и успешно скомпрометировала 18 дополнительных аккаунтов Twitter/X. Общая статистика за всё время работы показывает, что было протестировано более 4,8 миллионов аккаунтов, из которых 138 оказались уязвимы. Примечательно, что все скомпрометированные учётные записи не использовали двухфакторную аутентификацию (2FA). Напротив, 85,6% от всех проверенных аккаунтов запросили код 2FA, что автоматически остановило атаку на них. Это делает данную операцию невольным, но масштабным исследованием эффективности двухфакторной аутентификации на платформе.
Вся рабочая инфраструктура ботнета, состоящая из 18 серверов, расположена в одной подсети в Анкаре, Турция, и принадлежит компании Komuta Savunma Yuksek Teknoloji Limited Sirketi. Все пароли для root-доступа следуют единому шаблону: 12-символьная шестнадцатеричная строка, за которой следует суффикс "kmt.!,". Слово "kmt", вероятно, является отсылкой к названию хостинг-провайдера (Komuta). Интерфейс панели управления полностью на турецком языке, а серверы названы "Sunucu" (с турецкого - "сервер"), что однозначно указывает на турецкоязычного оператора. Развёртывание инфраструктуры происходило волнами, включая первую установку на Рождество 2025 года - распространённая тактика, рассчитанная на сниженную активность специалистов по безопасности в праздники.
Наиболее тревожным аспектом является полное отсутствие детектов этой вредоносной инфраструктуры в публичных базах угроз. На момент публикации отчёта ни IP-адрес панели управления, ни адреса рабочих серверов не были помечены как опасные в VirusTotal, ThreatFox, URLhaus или AbuseIPDB. Это означает, что атака могла бы продолжаться неограниченно долго, если бы не элементарная ошибка оператора, оставившего свой командный центр открытым. Данный инцидент демонстрирует классическую тактику подбора учётных данных (credential stuffing), которая, несмотря на свою простоту, остаётся угрожающе эффективной из-за массового повторного использования паролей пользователями.
В качестве мер защиты эксперты рекомендуют платформе Twitter/X заблокировать перечисленные IP-адреса на уровне сети и принудительно сбросить пароли для 138 скомпрометированных аккаунтов. Провайдерам хостинга, чья инфраструктура была использована в атаке, направлены уведомления о злоупотреблениях. Однако ключевой вывод для пользователей звучит ещё более категорично: включение двухфакторной аутентификации является самым эффективным способом защиты от подобных массовых атак. Статистика этого ботнета - прямое тому доказательство: механизм, не способный обойти 2FA, был вынужден игнорировать подавляющее большинство аккаунтов, сосредоточившись лишь на тех, кто полагается только на пароль.
Индикаторы компрометации
IPv4
- 144.76.57.92
- 31.58.245.103
- 31.58.245.105
- 31.58.245.123
- 31.58.245.134
- 31.58.245.135
- 31.58.245.147
- 31.58.245.148
- 31.58.245.156
- 31.58.245.160
- 31.58.245.165
- 31.58.245.176
- 31.58.245.177
- 31.58.245.193
- 31.58.245.72
- 31.58.245.74
- 31.58.245.86
- 31.58.245.89
- 31.58.245.96
Domains
- impact.gradientconnectedai.com
- komutacloud.com
