Брайан Кребс: Ваши серверы Microsoft Exchange взломал не я

29 марта 2021 года

В деле о массовых взломах серверов Microsoft Exchange появились новые данные, указывающие на возможную причастность к нему известного журналиста Брайана Кребса, специализирующегося на тематике ИБ. Однако Кребс поспешил заверить, что не имеет к атакам никакого отношения, и хакеры нарочно использовали его имя в целях в очередной раз ему досадить.

Специалисты некоммерческой ИБ-организации Shadowserver Foundation фиксируют одну волну атак на Microsoft Exchange за другой после того, как стало известно об уязвимостях ProxyLogon. Для отслеживания атак они не только сканируют интернет, но и расставляют ловушки (ханипоты) – уязвимые серверы, на которые «клюют» злоумышленники, тем самым позволяя исследователям изучить их инструменты и тактики.

В атаках на Microsoft Exchange киберпреступные группировки по всему миру используют сотни уникальных web-оболочек (бэкдоров), предоставляющих им полный контроль над взломанными серверами. Интересно, что специалисты Shadowserver Foundation выявили 21 248 скомпрометированных серверов Microsoft Exchange, на которых был установлен бэкдор, подключающийся к домену brian[.]krebsonsecurity[.]top.

26 марта нынешнего года эксперты зафиксировали попытку установить на взломанный сервер новый бэкдор. На каждом атакованном хосте web-оболочка устанавливалась в одном и том же месте – /owa/auth/babydraco.aspx. Для исследователей, к тому времени уже успевших зафиксировать 367 известных путей, куда устанавливались бэкдоры на взломанных серверах, этот путь был новым.

OWA означает Outlook Web Access – подключенная к интернету часть локальных установок Microsoft Exchange. Ханипоты Shadowserver зафиксировали множество хостов с бэкдором Babydraco, запускающим скрипт Microsoft Powershell для извлечения файла “krebsonsecurity.exe” по IP-адресу 159.65.136[.]128. В настоящее время ни один из представленных на Virustotal.com нескольких десятков антивирусных инструментов для сканирования файлов не детектирует этот файл как вредоносный.

Файл Krebsonsecurity устанавливает корневой сертификат, модифицирует реестр системы и дает Windows Defender команду не сканировать его. Файл также пытается установить зашифрованное соединение между сервером и упомянутым выше IP-адресом и каждую минуту отправлять на него небольшое количество трафика.

Исследователи обнаружили боле 21 тыс. установок Microsoft Exchange с бэкдором Babydraco, но на скольких из них также запущен вторичный файл с поддельного домена Krebsonsecurity, неизвестно.

С какой целью был подделан домен Krebonsecurity, также непонятно. Однако подделка непосредственно связана с недавней киберпреступной активностью, направленной на то, чтобы досадить Кребсу.

Впервые журналист узнал о поддельном домене в декабре 2020 года от одного из своих читателей, чья компьютерная сеть домашней лаборатории была взломана ботнетом для майнинга криптовалюты. Криптомайнер указывал на домен XXX-XX-XXX.krebsonsecurity.top, где вместо XXX-XX-XXX использовался номер социального страхования Брайана Кребса.

Как пояснил сам журналист, это не первый случай, когда киберпреступники используют в своем вредоносном ПО или другом контенте его имя, торговую марку или похожие на Krebonsecurity сайты с целью досадить журналисту или испортить его репутацию.