Más de 4,000 Backdoors web abandonados pero activos fueron secuestrados, y su infraestructura de comunicación fue hundida digitalmente después de que investigadores registraron dominios expirados utilizados para controlarlos.
Amenazas en servidores de alto perfil
Parte del malware activo (shells web) estaba desplegado en servidores web de objetivos de alto perfil, incluidos sistemas gubernamentales y universitarios, listos para ejecutar comandos de cualquiera que tomara el control de los dominios de comunicación.
Investigadores especializados evitaron que estos dominios y las víctimas correspondientes cayeran en manos de actores maliciosos.
Descubrimiento de miles de sistemas comprometidos
Los Backdoors son herramientas o códigos maliciosos insertados en sistemas comprometidos para permitir el acceso remoto no autorizado y el control de dichos sistemas. Los actores de amenazas los utilizan para mantener acceso persistente y ejecutar comandos que amplían el ataque.
Los investigadores buscaron dominios en varios Backdoors web y compraron aquellos que habían expirado, tomando esencialmente el control de estos Backdoors. Tras configurar un sistema de registro de actividades, el malware abandonado pero activo comenzó a enviar solicitudes, lo que permitió a los investigadores identificar al menos a algunas de las víctimas.
De los más de 40 dominios registrados, los investigadores recibieron comunicaciones de más de 4,000 sistemas comprometidos intentando “contactar a casa”.
Tipos de Backdoors identificados
Entre los hallazgos se encontraron varios tipos de Backdoors, incluidos:
- r57shell: Una versión clásica de shell web.
- c99shell: Más avanzado, con capacidades de gestión de archivos y ataques de fuerza bruta.
- China Chopper: Un shell web frecuentemente asociado con grupos de amenazas persistentes avanzadas (APT).
El informe también menciona un Backdoor con comportamientos asociados al Grupo Lazarus, aunque posteriormente se aclaró que probablemente se trató de un caso de reutilización de herramientas del grupo por parte de otros actores.
Sistemas comprometidos identificados
Los investigadores encontraron una variedad de sistemas comprometidos, incluidos:
- Infraestructura gubernamental de China, incluidas cortes judiciales.
- El sistema judicial del gobierno de Nigeria.
- Redes gubernamentales en Bangladés.
- Instituciones educativas en Tailandia, China y Corea del Sur.
Prevención de futuros abusos
Se transfirió la responsabilidad de gestionar los dominios secuestrados a otra organización especializada para garantizar que no puedan ser tomados nuevamente. Actualmente, se está redirigiendo todo el tráfico enviado desde los sistemas comprometidos a dominios controlados de forma segura.
Conclusión
La investigación demuestra cómo los dominios expirados de operaciones de malware podrían seguir siendo utilizados por ciberdelincuentes, quienes también heredarían algunas víctimas simplemente al registrar los dominios de control. Este hallazgo subraya la importancia de la vigilancia continua y la gestión adecuada de activos digitales para evitar su abuso.