Забыл «закрыть дверь». Как одна открытая папка погубила карьеру иранского хакера
NewsMakerОбычная невнимательность обернулась полным разоблачением сложной схемы.
Специалисты обнаружили масштабную инфраструктуру ботнета, развёрнутую на базе ошибочно открытого каталога на сервере в Иране. Утечка позволила восстановить почти всю цепочку работы оператора — от настройки сети обхода блокировок до создания инструментов для атак и управления заражёнными устройствами.
Инцидент выявили аналитики Hunt.io во время мониторинга открытых серверов. Один из узлов с адресом 185.221.239[.]162 содержал сотни файлов, включая конфигурации, исходный код и историю команд. Сервер принадлежал иранскому провайдеру Dade Samane Fanava Company и использовался как точка входа в более широкую инфраструктуру.
Анализ TLS-сертификата помог раскрыть сеть из 15 узлов. Семь серверов размещались у хостинг-провайдера Hetzner в Финляндии, ещё семь — у иранских операторов связи. Дополнительный узел находился в Лондоне у OVH. Все элементы объединяла единая схема — входящий трафик шёл через Иран, а выходные точки располагались за рубежом.
Конфигурационные файлы показали, что сеть применяли не только для атак. Сервер выполнял роль туннеля на базе Paqet — инструмента обхода интернет-фильтрации. Трафик направлялся через KCP с шифрованием, что позволяло маскировать активность и обходить глубокую проверку пакетов.
Специалисты обнаружили масштабную инфраструктуру ботнета, развёрнутую на базе ошибочно открытого каталога на сервере в Иране. Утечка позволила восстановить почти всю цепочку работы оператора — от настройки сети обхода блокировок до создания инструментов для атак и управления заражёнными устройствами.
Инцидент выявили аналитики Hunt.io во время мониторинга открытых серверов. Один из узлов с адресом 185.221.239[.]162 содержал сотни файлов, включая конфигурации, исходный код и историю команд. Сервер принадлежал иранскому провайдеру Dade Samane Fanava Company и использовался как точка входа в более широкую инфраструктуру.
Анализ TLS-сертификата помог раскрыть сеть из 15 узлов. Семь серверов размещались у хостинг-провайдера Hetzner в Финляндии, ещё семь — у иранских операторов связи. Дополнительный узел находился в Лондоне у OVH. Все элементы объединяла единая схема — входящий трафик шёл через Иран, а выходные точки располагались за рубежом.
Конфигурационные файлы показали, что сеть применяли не только для атак. Сервер выполнял роль туннеля на базе Paqet — инструмента обхода интернет-фильтрации. Трафик направлялся через KCP с шифрованием, что позволяло маскировать активность и обходить глубокую проверку пакетов.