Хакерская группировка HackThePlanet (НТР) опубликовала подробности совершения атаки на хостинг-провайдера Linode, указав причины и способ взлома. Как следует из сообщения, целью атаки, совершенной в середине апреля, была хакерская группа ac1db1tch3z, попытавшаяся использовать низкоорбитальную ионную пушку (LOIC), принадлежащую HTP. Хакеры из ac1db1tch3z вычислили HTP через один из принадлежащих им ботнетов под названием Zodiac.
Хакеры из HTP обнаружили, что ac1db1tch3z использовали сервис SwiftIRC, DNS-серверы которого размещались у Linode. Первая попытка взломать Linode не удалась, тем не менее, НТР успешно использовали эксплоит для уязвимости нулевого дня на сайте регистратора Name.com, через который был получен пароль для управления доменом. Затем хакеры подняли прозрачный прокси-сервер для сбора имен пользователей Linode, загрузили бэкдор Nmap и получили полный доступ.
Далее HTP обнаружили в своей сети активность ФБР, из чего сделали вывод, что кто-то из группировки сотрудничает с американскими властями и «сливает» информацию. Именно поэтому хакеры не сообщили Linode об инциденте, а дождались, пока это сделает ФБР.
После того, как об инциденте стало известно, НТР связались с Linode и заявили, что удалят всю похищенную информацию, в том числе 159 тысяч кредитных карт, имена пользователей, хэши паролей и т. д., если хостинг-провайдер упомянет их в своем официальном пресс-релизе.
Представители Linode приняли условие хакеров, и те выполнили свое обещание. Денежного вознаграждения НТР не получили, однако этот инцидент помог им обнаружить того, кто работал на ФБР.
Источник: SecurityLab
|