Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Cybernews
  3. Artykuł
Powrót

Wygasłe domeny uratowały tysiące systemów

09 styczeń 2025

Wygasłe domeny uratowały tysiące systemów
Leszczak Katarzyna

Leszczak Katarzyna

Ponad 4000 aktywnych backdoorów zostało unieszkodliwionych dzięki zarejestrowaniu wygasłych domen kontrolnych. Operacja ujawniła luki bezpieczeństwa na serwerach rządowych, uniwersyteckich i korporacyjnych, które mogłyby zostać wykorzystane przez cyberprzestępców.

Ustawa Kamilka

Przejęcie domen i unieszkodliwienie złośliwego oprogramowania

Badacze z firm WatchTowr Labs oraz The Shadowserver Foundation podjęli działania mające na celu zneutralizowanie złośliwego oprogramowania, które wykorzystywało wygasłe domeny do komunikacji z serwerami kontrolnymi. Wiele domen, wykorzystywanych wcześniej przez cyberprzestępców, wygasło i stało się dostępne do ponownej rejestracji.

Po przejęciu takich domen, eksperci skonfigurowali systemy umożliwiające monitorowanie ruchu z zainfekowanych systemów. W krótkim czasie zidentyfikowano ponad 4000 systemów próbujących połączyć się z przejętymi domenami. Były to zarówno serwery rządowe, jak i komercyjne oraz edukacyjne, co wskazuje na dużą skalę problemu.

Rodzaje zidentyfikowanych backdoorów

W trakcie badań odkryto różnorodne typy backdoorów. Wśród nich znalazły się klasyczne powłoki internetowe, takie jak r57 oraz c99, które oferują zaawansowane możliwości zarządzania plikami i przeprowadzania ataków typu brute force. Zidentyfikowano również narzędzie o nazwie "China Chopper", które jest często wykorzystywane przez grupy hakerskie znane z ataków na duże organizacje.

Jednym z ciekawszych odkryć było złośliwe oprogramowanie wykazujące podobieństwo do technik stosowanych przez grupę Lazarus, znaną z działań na rzecz kradzieży danych i ataków na instytucje finansowe. Choć początkowo sądzono, że to właśnie Lazarus stoi za tymi atakami, późniejsze analizy wskazały na możliwe wykorzystanie tych samych narzędzi przez innych cyberprzestępców.

Zabezpieczenie infrastruktury przez Fundację Shadowserver

Aby zapobiec dalszemu wykorzystaniu przejętych domen, eksperci przekazali ich zarządzanie Fundacji Shadowserver. Dzięki temu organizacja ta może monitorować ruch z zainfekowanych systemów i przekierowywać go w sposób uniemożliwiający wykonywanie złośliwych poleceń.

Operacja ta pokazuje, jak istotne jest monitorowanie wygasłych domen i ich ponowne zabezpieczanie. Brak kontroli nad takimi domenami może prowadzić do ponownego wykorzystania przez cyberprzestępców, co naraża organizacje na dalsze ataki. Nawet proste działania, takie jak rejestracja domen, mogą znacząco poprawić bezpieczeństwo globalnej infrastruktury cyfrowej, zapobiegając kolejnym incydentom.

Dobroczynnie NTHW

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności