Аналитики рассказали про известную хакерскую группировку, которая атакует серверы под управлением Linux. Судя по всему, злоумышленники используют довольно эффективные инструменты взлома. К сожалению, пока сложно сказать, удастся ли киберполиции поймать хакеров. Однако эксперт, который преподает CCNA Cyber Ops Латвия, рассказал некоторые подробности про деятельность группировки.
Чем знамениты 8220, CCNA Cyber Ops Латвия
Хакерская группировка под названием 8220 впервые появилась в поле зрения экспертов в 2017 году. Тогда злоумышленники только начинали свою карьеру, однако уже были довольно успешными. В частности, они занимались установкой майнеров криптовалюты Monero. И делали это довольно просто: находили серверы с открытым портом 8220. Именно в честь такого способа атаки группировка и получила свое название. В будущем специалисты смогли выяснить, что хакеры являются выходцами из Китая. И аналитик, преподающий Cisco CCNA Cyber Ops Латвия, даже сделал большой отчет об их деятельности.
Подобные хакерские группировки наносят существенный вред большому количеству пользователей. А все потому, что при помощи своих вирусов могут:
- эксплуатировать вычислительные мощности компьютеров;
- использовать ботнет для DDoS-атак;
- внедрять в системы другие опасные программы.
Начиная с середины 2019 года, злоумышленники решили изменить тактику. В частности, они научились прятать свои майнеры при помощи руткинов. А в 2021 году группировка 8220 и вовсе сменила как свой майнер (теперь это PwnRig их собственно разработки). Так и обзавелась огромным ботнетом под названием Tsunami IRC. Таким образом стало очевидно, что дела у 8220 идут даже слишком хорошо. Хакеры активно развиваются, наращивают свои мощности, укрепляют позиции в сообществе. Безусловно, их деятельность крайне негативно отражается на всем интернет-пространстве.
Новая тактика и цели 8220
Однако в последнее время злоумышленники вновь решили расширить свои горизонты. И если раньше они атаковали серверы под управлением ОС Windows, то теперь взялись за Linux. Прежде всего, 8220 представили миру новую версию своего майнера. А также существенно усовершенствовали IRC-бот. Но больше всего специалистов обеспокоил тот факт, что злоумышленники стали мониторить уязвимости. То есть внимательно следят за новыми багами и оперативно пытаются их эксплуатировать. Как утверждает эксперт по Cisco CCNA Security Латвия, такая тактика свойственна только опытным группировкам.
На сегодняшний день 8220 эксплуатируют сразу две уязвимости. Это старый и известный баг в программе Oracle WebLogic. А также новая уязвимость в утилите Atlassian Confluence. Связка этих двух багов позволяет проникать на Linux-сервер и оперативно скачивать майнер. В результате вредоносное ПО очень быстро оказывается на компьютере жертвы. Кроме того, вирус удаляет данные о своей деятельности. Потому его крайне сложно обнаружить самостоятельно. Но все же есть специалисты, прошедшие курсы кибербезопасности Cisco Латвия, которым это удается. Дополнительно стоит отметить, что вирус может отключать облачные сервисы для проверки безопасности.
При этом вирус может распространяться по сети. Он ищет подключенные друг к другу серверы, а затем копирует себя в соседнюю систему. И таким образом активно распространяется. Специалисты отмечают, что на сегодняшний день это один из наиболее эффективных вирусов для взлома Linux. И это крайне тревожные новости, ведь именно семейство LInux всегда являлось одним из наиболее безопасных.
Команда SEDICOMM University: Академия Cisco, Linux Professional Institute, Python Institute.