07.04.2023 | Сотни тысяч долларов в месяц: проксиджекинг стал прибыльным бизнесом для киберпреступников |
Специалисты Sysdig Threat Research Team обнаружили новый вектор атаки, основанный на перехвате легитимных прокси-сервисов, которые позволяют людям продавать часть своей пропускной способности третьим лицам. Исследователи Sysdig заявили , что новый вектор атаки под названием «proxyjacking» ( проксиджекинг ) позволяет киберпреступникам зарабатывать сотни тысяч долларов в месяц в виде пассивного дохода. По данным «Лаборатории Касперского», прокси-сервисы работают так: Пользователь устанавливает клиент, который создает прокси-сервер. Клиент делает интернет-соединение устройства доступным для внешней стороны – прокси-сервиса, который затем перепродает часть пропускной способности пользователя другим людям. Технология прокси нашла применение среди пользователей, которые используют чужой IP-адрес для обхода геоблокировок или просмотра сомнительных веб-сайтов без привязки к собственному IP-адресу. Обычно, люди платят за каждый IP-адрес в зависимости от количества часов, в течение которых работает приложение. В одной из атак, которую наблюдали исследователи Sysdig, злоумышленники скомпрометировали контейнер в облачной среде с помощью уязвимости Log4j ( Log4Shell ), а затем установили прокси-клиент, который превратил систему в прокси-сервер без ведома владельца контейнера. Затем злоумышленник продал IP-адрес скомпрометированного устройства прокси-сервису. Как правило, атаки с использованием Log4j связаны с тем, что хакер загружает на устройство бэкдор или полезную нагрузку для криптоджекинга . Кристал Морин, инженер-исследователь угроз Sysdig, сказал, что проксиджекинг похож на криптоджекинг в том смысле, что оба они извлекают выгоду из полосы пропускания жертвы — и оба примерно одинаково выгодны для злоумышленника. Однако две атаки отличаются тем, что майнер использует ресурсы процессора, а проксиджекинг использует сетевые ресурсы, не минимально нагружая ЦП. Морин отметил, что влияние проксиджекинга на систему незначительно: 1 ГБ сетевого трафика, распределенного в течение месяца, составляет десятки мегабайт в день — очень вероятно, что атака останется незамеченным. Как работает проксиджекинг В обнаруженной атаке хакеры скомпрометировали неисправленную службу Apache Solr, работающую в инфраструктуре Kubernetes, чтобы получить контроль над контейнером в среде. Затем киберпреступники загрузили вредоносный скрипт с С2-сервера, который они разместили в папке «/tmp», чтобы получить возможность использовать скомпрометированный модуль для заработка. Исследователи заметили, что злоумышленники пытались замести следы вредоносной активности, очистив историю и удалив загруженный бинарный файл, а также временные файлы. Воздействие атак и смягчение последствий проксиджекинга По оценкам исследователей, за 24 часа работы с одного взломанного IP-адреса злоумышленник может заработать $9,60 в месяц. Специалисты отметили, что при компрометации 100 IP-адресов, киберпреступник может получить пассивный доход в размере почти $1000 в месяц. При использовании Log4j в неисправленных системах эта цифра может быть еще выше, поскольку миллионы серверов все еще используют уязвимые версии инструмента ведения журнала, и, по данным Censys, более 23 000 из них доступны в Интернете. «Теоретически одна только уязвимость Log4j может принести злоумышленнику более $220 000 прибыли в месяц», — заявил Морин. По словам исследователей, чтобы избежать получения огромных счетов за использование прокси, организации должны установить лимиты выставления счетов и оповещения средств проверки облачных сервисов. Компании также должны иметь правила обнаружения угроз, чтобы получать оповещения о любом внедрении и вредоносной активности, предшествующей установке прокси-клиента в корпоративной сети. |
Проверить безопасность сайта