Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Забыл «закрыть дверь». Как одна открытая папка погубила карьеру иранского хакера

leer en español

Hunt.io Иран ботнет Hetzner DDoS SSH киберугрозы
Забыл «закрыть дверь». Как одна открытая папка погубила карьеру иранского хакера
Hunt.io Иран ботнет Hetzner DDoS SSH киберугрозы

Обычная невнимательность обернулась полным разоблачением сложной схемы.

image

Специалисты обнаружили масштабную инфраструктуру ботнета, развёрнутую на базе ошибочно открытого каталога на сервере в Иране. Утечка позволила восстановить почти всю цепочку работы оператора — от настройки сети обхода блокировок до создания инструментов для атак и управления заражёнными устройствами.

Инцидент выявили аналитики Hunt.io во время мониторинга открытых серверов. Один из узлов с адресом 185.221.239[.]162 содержал сотни файлов, включая конфигурации, исходный код и историю команд. Сервер принадлежал иранскому провайдеру Dade Samane Fanava Company и использовался как точка входа в более широкую инфраструктуру.

Анализ TLS-сертификата помог раскрыть сеть из 15 узлов. Семь серверов размещались у хостинг-провайдера Hetzner в Финляндии, ещё семь — у иранских операторов связи. Дополнительный узел находился в Лондоне у OVH. Все элементы объединяла единая схема — входящий трафик шёл через Иран, а выходные точки располагались за рубежом.

Конфигурационные файлы показали, что сеть применяли не только для атак. Сервер выполнял роль туннеля на базе Paqet — инструмента обхода интернет-фильтрации. Трафик направлялся через KCP с шифрованием, что позволяло маскировать активность и обходить глубокую проверку пакетов.

История bash-команд раскрыла три этапа работы оператора. Сначала развернули туннельную инфраструктуру и отладили прокси-сервисы. Затем начались эксперименты с DDoS-инструментами. На сервере компилировали программы на C для SYN- и UDP-флуда, а также запускали MHDDOS против конкретных целей, включая игровой сервер FiveM.

Заключительный этап показал переход к созданию ботнета. Скрипт ohhhh.py использовал список учётных данных для массового подключения по SSH. Одновременно открывались сотни сессий, после чего на удалённых машинах компилировался вредоносный клиент и запускался в фоновом режиме. Исполняемый файл маскировали под «hex», чтобы снизить вероятность обнаружения.

Дополнительный скрипт yse.py позволял оператору быстро останавливать все процессы на заражённых узлах. Основной бинарный клиент — образец вредоносного ПО — содержал функции связи с управляющим сервером, передачу информации о системе и команды для запуска атак. В коде обнаружили механизм автоматического переподключения, что делает заражённые машины устойчивыми к сбоям инфраструктуры.

Косвенные признаки — использование иранских провайдеров, комментарии на фарси и архитектура обхода блокировок — указывают на происхождение оператора. При этом характер целей и уровень инструментов не похожи на деятельность, связанную с государственными структурами. Скорее, речь идёт о частной или коммерческой активности.

Инцидент наглядно показывает, как одна ошибка в настройке сервера раскрывает всю операционную схему. В данном случае открытый каталог позволил проследить полный цикл — от построения сети до атак и управления ботнетом.