Голод не тетка, а повод выучить PHP. Студент из Бангладеш взламывает военные сайты, чтобы оплатить учебу
NewsMakerТот неловкий момент, когда твой сайт стоит дешевле чашки кофе.
Исследователи из Howler Cell рассказали о подпольном рынке взломанных сайтов, который обслуживают студенты и фрилансеры из Азии. В центре их нового отчета оказался студент из Бангладеш, изучающий кибербезопасность и мечтающий о работе в red team, который параллельно зарабатывает на учебу продажей доступа к скомпрометированным ресурсам. Для этого он использует незаметный для антивирусов PHP-бекдор Beima и панель управления ботнетом, а ключевыми покупателями выступают злоумышленники из Китая, Индонезии и Малайзии.
По данным Howler Cell, студент скупает или сам находит уязвимые сайты на WordPress и cPanel с ошибками конфигурации, добавляет их в панель, после чего предлагает доступ к ним в Telegram. Обычные сайты продаются по 3–4 доллара США, а ресурсы из доменных зон .edu и .gov стоят около 200 долларов. На фоне медианной месячной зарплаты в Бангладеш около 220 долларов США такая схема превращается в крайне прибыльный бизнес для начинающего хакера и других фрилансеров, работающих по аналогичной модели.
Всего исследователи насчитали около 5200 сайтов, предлагаемых к продаже в связанных Telegram-каналах. Большинство ресурсов находится в Азии, но жертвы есть и в Европе, Северной и Южной Америке, Африке и Океании. Отраслевое распределение показывает явный перекос в сторону образования и органов власти, которые в сумме дают 76% предложений. Авторы отчета сознательно не публикуют конкретные домены и подчеркивают, что не проверяли каждый из них, однако среди лотов встречаются крупные университеты, правоохранительные органы, военные структуры, суды и офисы генеральных прокуроров. При реальном компрометации таких ресурсов последствия зависят от того, как именно купившие доступ группы решат использовать инфраструктуру.
Техническим ядром кампании стал PHP-вебшелл Beima. Этот бекдор, по данным Howler Cell, остается полностью нераспознанным на VirusTotal с 9 мая 2024 года по крайней мере до ноября 2025 года. Скрипт обычно загружается на сервер под видом файла style.php, принимает только зашифрованные команды и использует встроенный приватный ключ RSA для их расшифровки. Через него злоумышленники могут выполнять произвольный код на сервере, загружать и изменять файлы, внедрять собственный код в индексные страницы, подменять содержимое сайта, закрепляться в случайных каталогах и использовать скомпрометированные серверы как узлы ботнета и прокси для дальнейшей разведки и атак.
Исследователи из Howler Cell рассказали о подпольном рынке взломанных сайтов, который обслуживают студенты и фрилансеры из Азии. В центре их нового отчета оказался студент из Бангладеш, изучающий кибербезопасность и мечтающий о работе в red team, который параллельно зарабатывает на учебу продажей доступа к скомпрометированным ресурсам. Для этого он использует незаметный для антивирусов PHP-бекдор Beima и панель управления ботнетом, а ключевыми покупателями выступают злоумышленники из Китая, Индонезии и Малайзии.
По данным Howler Cell, студент скупает или сам находит уязвимые сайты на WordPress и cPanel с ошибками конфигурации, добавляет их в панель, после чего предлагает доступ к ним в Telegram. Обычные сайты продаются по 3–4 доллара США, а ресурсы из доменных зон .edu и .gov стоят около 200 долларов. На фоне медианной месячной зарплаты в Бангладеш около 220 долларов США такая схема превращается в крайне прибыльный бизнес для начинающего хакера и других фрилансеров, работающих по аналогичной модели.
Всего исследователи насчитали около 5200 сайтов, предлагаемых к продаже в связанных Telegram-каналах. Большинство ресурсов находится в Азии, но жертвы есть и в Европе, Северной и Южной Америке, Африке и Океании. Отраслевое распределение показывает явный перекос в сторону образования и органов власти, которые в сумме дают 76% предложений. Авторы отчета сознательно не публикуют конкретные домены и подчеркивают, что не проверяли каждый из них, однако среди лотов встречаются крупные университеты, правоохранительные органы, военные структуры, суды и офисы генеральных прокуроров. При реальном компрометации таких ресурсов последствия зависят от того, как именно купившие доступ группы решат использовать инфраструктуру.
Техническим ядром кампании стал PHP-вебшелл Beima. Этот бекдор, по данным Howler Cell, остается полностью нераспознанным на VirusTotal с 9 мая 2024 года по крайней мере до ноября 2025 года. Скрипт обычно загружается на сервер под видом файла style.php, принимает только зашифрованные команды и использует встроенный приватный ключ RSA для их расшифровки. Через него злоумышленники могут выполнять произвольный код на сервере, загружать и изменять файлы, внедрять собственный код в индексные страницы, подменять содержимое сайта, закрепляться в случайных каталогах и использовать скомпрометированные серверы как узлы ботнета и прокси для дальнейшей разведки и атак.