Доступ до понад 3000 бекдор-сайтів продається на російському хакерському форумі

Хакери продають доступ до понад 3000 зламаних веб-сайтів на підпільному хакерському форумі для Російськомовні користувачі, згідно з новим звітом, опублікованим сьогодні ZDNet компанією з розвідки загроз Точка займання.

Форум називається MagBO і є відносно новачком на сцені хакерства, де інші служби HackForum, Exploit.in, xDedic, Nulled або Mal4All вже зробили собі ім’я.

Але згідно з Flashpoint, цей форум має власну нішу, і ця ніша полягає в продажу веб-оболонок уже зламаним веб-сайтам.

«По суті, зламані веб-сайти містять певний бекдор, який дозволяє покупцям входити на них», — сказав Віталій Кремез, директор із досліджень Flashpoint. ZDNet електронною поштою сьогодні.

Доступ до зламаних сайтів здійснювався на різних рівнях, залежно від того, яку веб-оболонку (бекдор) продавцям вдалося встановити на зламаний сайт. Згідно з фільтрами MagBO, клієнт міг купити доступ до:

• Доступ до оболонки PHP
• Контроль доступу до хостингу
• Контроль доступу до домену
• Доступ за протоколом передачі файлів (FTP).
• Доступ через SSH (Secure Socket Shell).
• Доступ до панелі адміністратора
• Доступ до бази даних або мови структурованих запитів (SQL).

Кремез каже, що його компанія виявила понад 3000 зламаних сайтів, які продаються на MagBO, ціна яких варіюється від мізерних 0,5 доларів до колосальних 1000 доларів.

Ціни визначалися динамічно під час покупки на основі деталей, починаючи від рейтингу трафіку та закінчуючи параметрами хостингу. Чим кращий рейтинг і ширший доступ до середовища хостингу, тим вища ціна.

Схоже, що MagBO існує з початку року, і його власники або філії також рекламували його на інших порталах, пов’язаних із хакерством.

Хоча Flashpoint не вдалося знайти чітких доказів зв’язку сайтів, проданих на MagBOo, з нещодавніми кампаніями Magecart [Квитковий майстер, British Airways, Feedify, ABS-CBN, Newegg], Кремез не виключає, що деякі з ще не відомих зломів Magecart могли стосуватися команди Magecart, які купували доступ до зламаних сайтів через MagBO.

«Ми вважаємо, що багато порушень, пов’язаних із компрометацією кредитних карток електронної комерції Magecart, були багаторівневими та вимагали іншого набору учасників. які забезпечили початковий доступ до зламаних веб-сайтів до того, як був розгорнутий їхній власний сценарій аналізу кредитної картки Javascript», — сказав Кремез. ZDNet. «У цьому сенсі можливо, що актори Magecart отримували доступ до високої вартості через MagBo або його порушують безпосередньо продавців веб-сайтів, оскільки вони походять з того ж російськомовного підпілля екосистема».