Предустановленные пароли в Windows и Linux абсолютно бессильны перед атакой редкого типа

Безопасность Бизнес Интернет
мобильная версия
, Текст: Роман Георгиев 2329

Вредоносная программа под Windows и Linux, умеющая подбирать пароли, атакуя с множества IP одновременно, нашла множество жертв. Конечной целью злоумышленников служат, как правило, CMS-системы на площадках электронной коммерции.


Распределенный взлом паролей

Неизвестные злоумышленники распространяют по компьютерным системам под управлением Windows и Linux вредоносную программу, которая осуществляет брутфорс-атаки (подбор паролей) на различные серверы и онлайн-ресурсы, зачастую связанные с электронной коммерцией.

Программа StealthWorker (также известная как GoBrut) была впервые обнаружена в конце февраля 2019 г. компанией Malwarebytes. Сейчас эксперт фирмы FortGuard Labs Роммель Йовен (Rommel Joven) выяснил, что StealthWorker уже вовсю используется для атак на различные платформы.

Установлено, что StealthWorker изначально представлял собой многофункциональный вредонос, способный эксплуатировать большое количество уязвимостей в таких системах как Magento, phpMyAdmin, cPanelContentManagementSystems, а также осуществлять брутфорс-атаки распределенно. Уже известно, что именно эту программу использовали для атаки и внедрения скиммеров (считывателей паролей) на нескольких площадках электронной коммерции на базе Magento.

Найден эффективный вредонос под Windows и Linux, который устраивает распределенные брутфорс-атаки

Роммел Йовен указывает, что распределенные брутфорс-атаки, производящиеся с нескольких IP, позволяют обходить защитные средства: те обычно срабатывают на множественные попытки перебора логинов-паролей с одного и того же IP-адреса.

Ранее злоумышленники распространяли StealthWorker с помощью серверного трояна WallyShack. Теперь же заражение осуществляется почти исключительно посредством брутфорса серверов со слабыми или предустановленными логинами и паролями.

Редкий зверь

Проникнув в систему вредонос создает запланированное задание средствами Windows или Linux, с помощью которых обеспечивает себе устойчивое присутствие, а затем отсылает контрольному серверу сообщение о готовности к работе и ожидает поступления команды об осуществлении атаки.

«Распределенные брутфорс-атаки — не столь частое явление, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SECConsultServices. — С уверенностью можно сказать, что, как и распределенные DDoS-атаки, они куда результативнее, чем те, которые производятся из одного источника. Однако брутфорс практически бесполезен, если административные аккаунты атакуемого ресурса используют правильную парольную политику, двухфакторную авторизацию и другие рекомендуемые средства защиты».