Турецкая хакерская группировка призывает возможных участников присоединиться к игровой платформе для проведения DDoS-атак. Конкурирующие между собой участники зарабатывают бонусные баллы, которые могут обменять на хакерские программы и программы для кликфрода. По мнению исследователей, этот подход направлен на «геймификацию» DDoS-атак, благодаря которой злоумышленники могут собрать целую армию дидосеров, объединенных общей целью.

Платформа носит название Surface Defense и рекламируется на турецкоязычных форумах Дарквеба, в том числе Turkhackteam и Root Developer. Об этом сообщили исследователи из Forcepoint — ИБ-компании, которая обнаружила DDoS-платформу.

Представители Surface Defense активно вербуют турецких хакеров и, вероятно, симпатизируют турецким националистам. Целями атак являются такие организации, как Рабочая партия Курдистана, Христианская демократическая партия Германии и веб-сайт Национального института Армении в Вашингтоне, сообщил Карл Леонард (Carl Leonard), главный аналитик по безопасности в Forcepoint. «Пока неясно, какова мотивация хакеров, стоящих за созданием платформы: они могут быть как политическими активистами, так и обычными киберпреступниками, стремящимися привлечь в свою сеть как можно больше участников», — сказал эксперт.

Как считают в Forcepoint, это первый случай «геймификации» хакерской платформы, в ходе которой участники соревнуются друг с другом по количеству очков и бонусных баллов, чтобы получить награду.

Вербовка происходит на турецких форумах в Дарквебе; участники должны загрузить специальную программу и зарегистрироваться. Программа Surface Defense исполняется локально на компьютере. Для общения и зарабатывания баллов нужно выйти в Интернет.

Следующий шаг — скачать инструмент для DDoS-атак под названием Sledgehammer. Sledgehammer — HTTP-клиент вроде Slowloris, в коде которого прописаны 24 сайта-мишени.

«Ресурсы из списка, очевидно, попали туда по политическим причинам… Пользователи получают балл за каждые 10 минут атаки на определенные веб-сайты», — говорят в Forcepoint.

Sledgehammer использует ресурсы ПК для проведения атак, направляя мусорный трафик через Tor. В настоящий момент нет сведений о том, удалось ли дидосерам вывести из строя хотя бы один целевой сайт. «Мы думаем, что люди, стоящие за Sledgehammer, пока занимаются вербовкой и набирают критическую массу», — сказал Леонард.

Представители Национального института Армении, который попал в список дидосеров, заявили, что им пока неизвестно о каких-либо попытках вывести сайт из строя.

Как только участник набирает определенное количество баллов, он получает разлоченную версию Sledgehammer в собственное пользование; обладатель сможет кастомизировать инструмент и использовать его для организации собственных DDoS-атак.

Но без ведома «счастливых» обладателей Sledgehammer в их инструмент внедрен неприметный бэкдор, который позволяет авторам DDoS-зловреда получать доступ к зараженным им компьютерам.

«Бэкдор в данном случае — это небольшой троянец, единственное назначение которого — загрузить, распаковать и запустить еще одну .NET-сборку из растрового изображения. Кроме того, троянец загружает вторичный guard-компонент, который устанавливается как служебная программа и осуществляет проверку наличия бэкдора, а в случае его удаления обеспечивает повторную загрузку и установку в качестве служебной программы», — рассказали эксперты.

Растровое изображение, которое загружает бэкдор, использует стеганографию, чтобы спрятать код, и содержит встроенную .NET-сборку. «Значение ARGB первого пикселя определяет размер полезной нагрузки, а остальная часть изображения — это сама полезная нагрузка», — отметили в Forcepoint.

Также в качестве награды за «достижения» хакеры получают троянизированный бот для кликфрода Adfly. Adfly — это легитимный сервис, осуществляющий редирект на определенные веб-страницы и демонстрирующий промежуточные рекламные объявления, по которым можно кликать и зарабатывать на этом. По словам экспертов Forcepoint, боты для кликфрода разработаны специально для накрутки кликов на сайтах вроде Ojooo, PTCFarm и Neobux.

Пока исследователям точно неизвестно, каким образом хакеры зарабатывают на вредоносной версии Adfly, если это действительно так. По словам Леонарда, есть признаки того, что модифицированная версия компонента Adfly просто не работает. Однако, считают в Forcepoint, в данной версии Adfly содержится тот же самый бэкдор, что и в Sledgehammer.

Леонард говорит, что владелец (или владельцы) DDoS-платформы действует под ником Mehmet. На подпольном форуме Root Developer исследователь обнаружил два YouTube-канала, публикуемых от имени пользователя Mehmet и содержащих обучающие видеоролики по использованию Sledgehammer и другую сопутствующую информацию.

«Surface Defense — это любопытный случай создания совершенно уникального и невиданного доселе сообщества хакеров. Создатели приняли к сведению различную мотивацию множества дидосеров, но в конечном итоге последние сами могут стать жертвой взлома из-за наличия в DDoS-зловреде бэкдора», — сказал Леонард.

Категории: DoS-атаки, Аналитика, Вредоносные программы, Главное