Ботнет, который состоит из WordPress-сайтов и управляется с помощью протокола IRC, обнаружен специалистами компании WordFence. Для взлома сайтов создатель сети пользовался скриптом из 25000 строк кода, а затем применял инфицированные веб-ресурсы для того, чтобы рассылать спам или проводить DDoS-атаки. Эксперты WordFence решили выяснить, кто является владельцем ботнета.
Среди 25000 строк кода исследователям удалось найти почти все детали конфигурации, нужные для начала расследования, включая IP-адреса IRC-серверов, порты и имя канала – 1x33x7). Специалисты без труда подключились к IRC, а затем попытались взломать найденный в коде хешированный пароль оператора ботнета, который известен как Bloodman.
Этот пароль применялся при отправке через IRC-чат команд для ботнета. Таким образом, взлом пароля позволил бы перехватить управление сетью. По словам экспертов, хеш известен с 2012 года. Уже в то время администраторы скомпрометированных веб-ресурсов находили чужой код и безуспешно просили помочь во взломе пароля.
Исследователи имели преимущество, поскольку вели наблюдение за IRC. При посещении канала оператором Bloodman и передаче команды для ботов, эксперты произвели перехват пароля в незашифрованном виде. Пароль был сразу же изменен, а управление ботнетом перешло к сотрудникам WordFence.
В этом же IRC-канале был обнаружен и перечень инфицированных веб-ресурсов. Боты были включены в чат как обычные пользователи, в чьих именах содержалась информация о взломанной платформе. Кроме того, среди участников чата были найдены две учетные записи, принадлежавшие оператору ботнета.
С помощью команды whois исследователи выяснили, что Bloodman пользовался немецким IP-адресом, а также поняли, что имя канала 1x33x7 – это второй псевдоним оператора ботнета, который тот применяет в Twitter, YouNow и YouTube. Проанализировав его аккаунты в социальных сетях, эксперты убедились в том, что Bloodman действительно является выходцем из Германии, поскольку он пользовался немецким языком во всех своих учетных записях. Также на YouTube был найден видеоролик, где Bloodman хвастается тем, что создал ботнет. В результате специалистам удалось выяснить личность оператора. Кроме того, по словам исследователей, они из открытых источников узнали много информации о Bloodman, включая его хобби и марку личного автомобиля.
Несмотря на то, что в распоряжение сотрудников Bloodman попали исчерпывающие сведения о ботнете и его создателе, они не стали прекращать работу сети, поскольку по закону не имели права взламывать хакера и вмешиваться в работу его системы. Также представители WordFence не стали очищать инфицированные машины, поскольку они опасаются, что это может привести к непредсказуемым последствиям. По мнению исследователей, отключение всех командных серверов только спровоцирует оператора на заражение новых сайтов и запустит нового управляющего сервера.
Пока сотрудники WordFence не информировали правоохранителей о ботнете, поскольку он, по их оценкам, состоит лишь из 100 сайтов Bloodman еженедельно проводит около 2000 новых атак, абсолютное большинство из которых с успехом блокируется защитными системами. Представители WordFence считают, что Bloodman и его ботнет не стоят тех усилий, которые понадобится приложить полицейским и представителям WordFence для его задержания, а в данном случае более полезным будет наблюдение и изучение тактики хакера.