Začátkem ledna letošního roku jsme byli svědky prudkého nárůstu útoků využívajících PHP WebShell ve snaze zneužít známou zranitelnost Drupalu nazvanou „Drupalgeddon“.
Odhalený kód obsahoval několik zajímavostí: slova v indonéštině, různé odkazy na úložiště kódů a také několik odkazů na dříve neznámý tým „plaNETWORK“. V kódu byla také fráze, na kterou výzkumný tým následně ještě několikrát narazil: „We Are Not Hacker.“
Check Point Research se postupně dostal až k indonéské skupině, která nabízela běžné IT služby. Ovšem webové stránky nebyly aktualizované, obsahovaly nabídku, jejíž platnost vypršela už na začátku roku 2018, a servery byly offline. Na první pohled nebylo pravděpodobné, že by společnost stála i za dříve detekovanými PHP WebShell útoky. Ale webové stránky obsahovaly také odkazy na různé sociální sítě, včetně Facebooku a Twitteru. Účet na Twitteru používá stejný slogan „We Are Not Hacker“, jaký byl použit také ve WebShell kódu.
Tým Check Point Research pomocí dalších nástrojů a analýz odhalil řadu členů skupiny plaNETWORK, kteří na různých fórech dávají rady ohledně hackování a chlubí se svými útoky, potvrdilo se tak, že se skutečně jedná o hackerskou skupinu.
Zdá se, že tato skupina, která začala jako IT poradenský tým nabízející legitimní služby, brzy přešla na „temnou stranu“ a členové si užívali pochybné zásluhy, které přinášejí značce plaNETWORK. Je důležité si uvědomit, že kyberútoky jsou nelegální bez ohledu na to, jak vznešenými poselstvími se je někdo snaží maskovat.
Více informací najdete v analýze týmu Check Point Research:
https://research.checkpoint.com/planetwork-face-to-face-with-cyber-crime/
Tento článek máteje zdarma. Když si předplatíte HN, budete moci číst všechny naše články nejen na vašem aktuálním připojení. Vaše předplatné brzy skončí. Předplaťte si HN a můžete i nadále číst všechny naše články. Nyní první 2 měsíce jen za 40 Kč.
- Veškerý obsah HN.cz
- Možnost kdykoliv zrušit
- Odemykejte obsah pro přátele
- Ukládejte si články na později
- Všechny články v audioverzi + playlist
