- Регистрация
- 26.10.16
- Сообщения
- 2,237
- Онлайн
- 36д 20ч 28м
- Сделки
- 251
- Нарушения
- 0 / 0
Со ссылкой на исследование компании BitSight Кребс отметил, что Mylobot всегда считался достаточно умным ботнетом: чтобы оставаться незамеченным на зараженных устройствах, он работал исключительно в энергозависимой (временной) памяти, а также выдерживал 14-дневную паузу перед связью с серверами управления. Теперь же стало известно, что основной целью ботнета было превращение устройств в прокси-серверы. При этом с вредоносом связаны более тысячи доменных имен, любое из которых может использоваться для управления ботнетом. Значительная их часть, как оказалось, применяется и сервисом BHProxies, который обещает своим клиентам полностью анонимное пребывание в сети под видом других пользователей. В настоящее время речь может идти как минимум о 150 тысячах устройств по всему миру, которые применяются в качестве таких прокси-серверов.
Для проверки своей гипотезы аналитики BitSight получила список из 50 прокси от BHProxies, после чего смогли использовать 48 из них для перехода на контролируемый ими веб-сайт, что позволило им записать истинные IP-адреса каждого прокси-устройства. Выяснилось, что 28 из них уже проходили в базах BitSight как связанные с Mylobot. Говоря о странах наибольшего присутствия ботнета, эксперты поставили на первое место Индию, следом за которой расположились США, Индонезия и Иран.
Уже от себя Кребс добавил, что как минимум с 2012 года BHProxies рекламировался одноименным пользователем на площадке Black Hat World. При этом наибольшую активность он проявлял с мая по ноябрь указанного года, после чего пропал на полтора года, а вернувшись в 2014 году, резко снизил обороты. Последнее сообщение от него датировано декабрем 2022 года.
Параллельно полученные данные занимающей киберразведкой компании Intel 471 позволяют предполагать, что тот же пользователь использовал на Black Hat World ник hassan_isabad_subar, под которым продавал различные программные инструменты, в том числе «бесплатный генератор электронной почты Subar» и «бесплатный парсер прокси-серверов Subar». Этот ник был зарегистрирован на почтовый адрес, который был причастен к созданию ряда интернет-ресурсов: раскрутка цепочки позволила установить, что первый владелец адреса из американского штата Огайо как раз в 2014 году продал его другому посетителю Black Hat World — из Египта, что было подтверждено соответствующими скриншотами электронных писем с человеком, адрес которого использовался при создании учетных записей в Facebook и Instagram на имя жителя Каира Абдалы Тауфика (Abdala Tawfik), который также использовал фамилию Хафаги. В этих соцсетях Тауфик называл себя бывшим менеджером TikTok и экс-директором Crypto.com.
Одновременно Кребсу удалось найти в социальной сети LinkedIn человека по имени Абдала Хафаги, который также указывает опыт работы в TikTok и Crypto.com. Он ответил на отправленное ему сообщение, отказавшись признавать всякую связь с учетными записями BHProxies или hassan_isabad_subar, отметив, впрочем, что у него раньше действительно был аккаунт на Black Hat World, который затем якобы был украден мошенниками. После этого попытка достоверной деанонимизации владельца BHProxies зашла в тупик.
