Голод не тетка, а повод выучить PHP. Студент из Бангладеш взламывает военные сайты, чтобы оплатить учебу

Исследователи из Howler Cell рассказали о подпольном рынке взломанных сайтов, который обслуживают студенты и фрилансеры из Азии. В центре их нового отчета оказался студент из Бангладеш, изучающий кибербезопасность и мечтающий о работе в red team, который параллельно зарабатывает на учебу продажей доступа к скомпрометированным ресурсам. Для этого он использует незаметный для антивирусов PHP-бекдор Beima и панель управления ботнетом, а ключевыми покупателями выступают злоумышленники из Китая, Индонезии и Малайзии.

По данным Howler Cell, студент скупает или сам находит уязвимые сайты на WordPress и cPanel с ошибками конфигурации, добавляет их в панель, после чего предлагает доступ к ним в Telegram. Обычные сайты продаются по 3–4 доллара США, а ресурсы из доменных зон .edu и .gov стоят около 200 долларов. На фоне медианной месячной зарплаты в Бангладеш около 220 долларов США такая схема превращается в крайне прибыльный бизнес для начинающего хакера и других фрилансеров, работающих по аналогичной модели.

Всего исследователи насчитали около 5200 сайтов, предлагаемых к продаже в связанных Telegram-каналах. Большинство ресурсов находится в Азии, но жертвы есть и в Европе, Северной и Южной Америке, Африке и Океании. Отраслевое распределение показывает явный перекос в сторону образования и органов власти, которые в сумме дают 76% предложений. Авторы отчета сознательно не публикуют конкретные домены и подчеркивают, что не проверяли каждый из них, однако среди лотов встречаются крупные университеты, правоохранительные органы, военные структуры, суды и офисы генеральных прокуроров. При реальном компрометации таких ресурсов последствия зависят от того, как именно купившие доступ группы решат использовать инфраструктуру.

Техническим ядром кампании стал PHP-вебшелл Beima. Этот бекдор, по данным Howler Cell, остается полностью нераспознанным на VirusTotal с 9 мая 2024 года по крайней мере до ноября 2025 года. Скрипт обычно загружается на сервер под видом файла style.php, принимает только зашифрованные команды и использует встроенный приватный ключ RSA для их расшифровки. Через него злоумышленники могут выполнять произвольный код на сервере, загружать и изменять файлы, внедрять собственный код в индексные страницы, подменять содержимое сайта, закрепляться в случайных каталогах и использовать скомпрометированные серверы как узлы ботнета и прокси для дальнейшей разведки и атак.

Обмен командами с вебшеллом строится вокруг JSON-структур и отдельной панели управления, размещенной на домене tool.zjtool[.]top. Интерфейс панели, как отмечают исследователи, полностью на китайском языке, а имена параметров совпадают с функциями в коде вебшелла, например doBeima, doLock, doStyle. Через эту панель операторы загружают наборы целей, управляют развертыванием дополнительных полезных нагрузок и запускают скрипты перечисления, которые ищут на сайтах учетные данные, ключи доступа к облакам, конфигурационные и резервные файлы, важные данные бизнес-аналитики и другие чувствительные сведения.

Отдельно Howler Cell обращает внимание на то, что не во всех случаях продаются уже зараженные ресурсы. В ряде эпизодов в Telegram рекламировались просто неправильно настроенные сайты, поддающиеся захвату с помощью того же Beima. В таких сделках покупатель оплачивает список уязвимых доменов и затем самостоятельно проводит эксплуатацию, что дополнительно снижает порог входа для новичков в киберпреступной среде.

Исследователи описывают происходящее как элемент более широкой модели краудсорсинга киберпреступности. В ней разрозненные исполнители, часто студенты и молодые специалисты из Бангладеш, Китая, Индонезии, Малайзии и других стран региона, за небольшие по мировым меркам суммы снабжают более организованные группы свежими плацдармами для атак. Telegram выступает основной площадкой для поиска клиентов, подтверждения взлома и расчетов, а криптовалюты вроде биткоина обеспечивают анонимность и простоту платежей.

Для владельцев сайтов на WordPress и cPanel авторы отчета рекомендуют расценивать подобные истории как повод пересмотреть базовую гигиену безопасности. В первую очередь речь идет о корректной настройке прав доступа к файлам и каталогам, удалении ненужных плагинов и тем, своевременном обновлении движка и компонентов, включении многофакторной аутентификации для администраторов, ограничении доступа к панели управления и регулярном анализе логов. Отдельным индикатором компрометации могут стать подозрительные PHP-файлы в нетипичных директориях, обращения к домену tool.zjtool[.]top, а также обнаружение в коде строк вроде doBeima, doLock или doStyle, которые используются в вебшелле Beima.

По оценке Howler Cell, описанная кампания не только демонстрирует высокую живучесть одного конкретного бекдора, но и наглядно показывает, как относительно простые ошибки администрирования и низкий порог входа для фрилансеров подпитывают устойчивую и децентрализованную криминальную экосистему вокруг взломанных сайтов.