- Los investigadores han encontrado miles de puertas web olvidadas, pero activas.
- Obtuvieron acceso comprando dominios caducados
- Todas las puertas traseras se tragan.
Los expertos descubrieron recientemente más de 4.000 puertas traseras de red que sus operadores parecen haber olvidado, pero pudieron detectarlas y tragarlas, evitando efectivamente que otros actores de amenazas abusen de ellas en el futuro.
Dos investigadores de WatchTowr, el director ejecutivo Benjamin Harris y la investigadora Elise Hammond, dijeron que descubrieron miles de dominios caducados utilizados para controlar la puerta trasera de Internet.
Los investigadores de watchTowr configuraron un sistema de registro que mostró que el malware todavía estaba activo, aunque no se estuviera utilizando. El envío de solicitudes ayudó a los investigadores a identificar a algunas de las víctimas. También identificaron algunos de los portones traseros utilizados, incluido el r57shell, el c99shell y uno llamado “China Chopper”.
China bajo ataque
Algunas de las puertas traseras se implementaron en servidores web pertenecientes a agencias gubernamentales, universidades y otros objetivos similares. Las víctimas se encontraban en todo el mundo, incluidos China, Tailandia y Corea del Sur. De hecho, se dice que varios sistemas y tribunales del gobierno chino se han visto comprometidos, así como sistemas en Nigeria y Bangladesh.
Las puertas traseras parecen ser una combinación de herramientas legítimas de nivel APT y otras aplicaciones menos sofisticadas, lo que lleva a los investigadores a especular que estuvieron involucrados múltiples actores de amenazas, de diferentes niveles de habilidad. Las direcciones IP de origen también indicaron un uso intensivo por parte de atacantes de regiones como Hong Kong y China, aunque también podrían ser representantes en lugar de evidencia definitiva de atribución.
Los investigadores también sugirieron que al menos algunas de las puertas traseras estaban originalmente vinculadas al temido grupo Lazarus, pero enfatizaron que en este caso, probablemente fueron reactivadas por otros atacantes. Lazarus es uno de los agentes de amenazas más peligrosos patrocinados por el estado de Corea del Norte y participa activamente en espionaje industrial, robo de identidad, fraude electrónico y más.
Al momento de esta publicación, la cantidad de puertas traseras descubiertas en línea era 4000, y los investigadores agregaron que esto no era definitivo y que la cantidad real de sistemas comprometidos probablemente era mucho mayor.
a través de pitidocomputadora
