Что хуже: найти 2 млн паролей, собранных ботами, или узнать, что большинство краденых паролей невероятно слабы? Эксперты Trustwave недавно обнаружили еще один контроллер ботнета Pony, в базе которого скопилось около 2 млн регистрационных данных к веб-сайтам, почтовым ящикам, а также аккаунтам FTP, RDP и SSH. Большинство этих идентификаторов открывают доступ к популярным веб-сервисам, таким как Facebook, Google, Twitter, Yahoo! и LinkedIn. Найденная база содержит также порядка 8 тыс. паролей к учетным записям сервиса автоматизированного расчета зарплаты (ADP).

«Такая смесь доменов вполне естественна, — комментируют Дэниел Чечик (Daniel Chechik) и Анат Давиди (Anat Davidi), исследователи из Trustwave SpiderLabs. — Удивительно то, что этот домен [adp.com] занимает в списке лишь девятую строчку. Профили Facebook — хорошая добыча для злоумышленников, однако аккаунты зарплатных сервисов сулят прямую финансовую выгоду».

Контроллер Pony, как и многие другие аналоги, реализует интерфейс административного управления ботнетом. Он оснащен панелью управления с доступом к логам активности, статистике по заражениям, позволяет вести учет награбленного и распоряжаться этими данными. Поскольку в начале текущего года исходники Pony утекли в Сеть, такие контроллеры и их итерации стали встречаться онлайн заметно чаще.

По свидетельству SpiderLabs, их новая находка имеет четко выраженный русский акцент: среди краденых данных много ключей «одноклассников» и «вконтактеров». Согласно статистике, данный контроллер обслуживает подключения из более чем 100 стран. Большинство таких обращений исходят с территории Нидерландов, однако, поскольку их источником является один и тот же IP-адрес, эксперты полагают, что он работает как шлюз между зараженными машинами и C&C-сервером, который размещен в той же стране.

«Злоумышленники часто используют обратные прокси, чтобы уберечь C&C-сервер от обнаружения и блокировки, — поясняют Чечик и Давиди. — Трафик, исходящий с зараженной машины, отражает лишь соединения с прокси-сервером, который легко заменить в случае отключения. Такое поведение само по себе интересно, но из-за него мы не смогли получить более детальную информацию по мишеням в атакуемых странах».

Массовая кража регистрационных данных (более 318 тыс. аккаунтов Facebook, около 60 тыс. — Yahoo!, порядка 54,4 тыс. — Google) — факт сам по себе малоприятный, однако после анализа украденных паролей исследователи также обнаружили, и вполне ожидаемо, что те в большинстве своем очень слабы. Как оказалось, сотни тысяч этих ключей используют лишь один тип знаков — цифры или буквы. Наиболее часто встречается последовательность 123456, семь из tор-10 самых распространенных паролей начинаются с 123, в ведущую десятку вошли также password, admin и 111111.

Уровень сложности краденых паролей тоже оставляет желать лучшего. Так, 34% из них были оценены SpiderLabs как неудовлетворительные: они короткие и используют лишь один тип знаков или распространенную комбинацию. На долю хороших и сильных пришлось 22%; это те пароли, которые используют не менее трех разных типов знаков. «К сожалению, наиболее ходовыми оказались те пароли, которые вряд ли понравятся вашему начальнику ИБ-отдела», — резюмируют эксперты.

Категории: Аналитика