Abgelaufene Domains eröffneten Zugriff auf 4.000 Web-Backdoors
Über 4.000 unterschiedliche Web-Backdoors, die zuvor von Cyberkriminellen genutzt wurden, sind in fremde Hände gefallen – einfach durch den Kauf verlassener und abgelaufener Domains für gerade einmal 20 Dollar pro Stück.
Das Cybersicherheitsunternehmen watchTowr Labs erklärte, dass es mehr als 40 abgelaufene Domain-Namen registriert hat, die zuvor von Cyberkriminellen genutzt wurden, um Backdoors in gehackten Systemen zu steuern. In Zusammenarbeit mit der Shadowserver Foundation wurden diese Domains übernommen, um herauszufinden, wie aktiv die infizierten Systeme noch sind.
„Wir haben verwaiste Backdoors kapern können, die immer noch versuchten, Kontakt zu den ursprünglichen Steuerungsservern aufzunehmen. Seither beobachten wir die eingehenden Verbindungen“, erklärten Benjamin Harris, CEO von watchTowr Labs, und Sicherheitsexpertin Aliz Hammond.
Diese Übernahme erlaubte es den Forschern, kompromittierte Systeme zu überwachen und sogar theoretisch die Kontrolle über sie zu übernehmen. Dabei stellte sich heraus, dass einige der betroffenen Systeme zu Regierungsstellen in Bangladesch, China und Nigeria sowie zu Universitäten in China, Südkorea und Thailand gehören.
Die Backdoors sind sogenannte Webshells – spezielle Schadprogramme, die Angreifern dauerhaften Fernzugriff auf gehackte Netzwerke ermöglichen, um dort weiteren Schaden anzurichten. Sie unterscheiden sich in ihrer Funktionalität und Komplexität:
- Einfache Webshells, die über PHP-Code von Angreifern bereitgestellte Befehle ausführen können
- c99shell
- r57shell
- China Chopper, eine Webshell, die häufig von chinesischen Hackergruppen (APTs) geteilt und genutzt wird
Die c99shell und r57shell gehören zu den umfangreicheren Webshells und bieten eine Vielzahl von Funktionen:
- Ausführung beliebiger Befehle
- Dateien verwalten (hochladen, löschen, ändern)
- Weitere Schadsoftware nachladen
- FTP-Server angreifen (Brute-Force)
- Eigene Spuren verwischen, indem sie sich selbst vom gehackten Server entfernen.
Diese Webshells sind deshalb besonders gefährlich, weil sie Angreifern vielseitige Kontrolle über kompromittierte Systeme verschaffen.
Laut WatchTowr Labs wurden einige Web-Shells von den Angreifern selbst mit versteckten Hintertüren ausgestattet, um die Standorte zu erkennen, an denen sie verwendet wurden. Allerdings führte dieser Schritt dazu, dass auch andere Cyberkriminelle Zugriff auf die betroffenen Systeme erhielten.
Eine ähnliche Entdeckung machte das Unternehmen, als es für gerade einmal 20 Dollar eine veraltete WHOIS-Domain kaufte („whois.dotmobiregistry[.]net“). Diese Domain war früher mit der Top-Level-Domain .mobi verknüpft. Obwohl die Domain längst durch „whois.nic[.]mobi“ ersetzt wurde, kommunizierten über 135.000 Systeme weltweit weiterhin mit dem alten Server.
Unter den betroffenen Systemen befanden sich private Unternehmen wie VirusTotal sowie Mailserver von Regierungs-, Militär- und Universitätseinrichtungen. Zu den betroffenen .gov-Adressen gehörten Behörden aus Ländern wie Argentinien, Indien, Israel, Pakistan, der Ukraine und den USA.
„Es ist interessant zu sehen, dass Angreifer oft dieselben Fehler machen wie Verteidiger“, so WatchTowr Labs. „Viele glauben, dass Hacker keine Fehler machen. Doch unsere Forschung zeigt das Gegenteil: offene Web-Shells, abgelaufene Domains und Software mit versteckten Hintertüren – alles Fehler, die auch Angreifer begehen.“