Исследователям из компании SurfWatch Labs удалось нарушить планы хакера, известного под псевдонимом AlphaLeon. Злоумышленник планировал атаковать инфраструктуру компании Invision Power Services (IPS), создавшей платформу IP.Board, теперь известную как IPS Community Suite. Скомпрометировав IPS, хакер хотел заразить малварью собственного авторства тысячи сайтов и форумов.
AlphaLeon уже известен специалистам по информационной безопасности, согласно их данным, он создает различную малварь и работает на черном рынке уже более пяти лет.
В марте 2016 года внимание исследователей привлек новый троян — Thanatos, который позиционируется едва ли не как замена нашумевшему ZeuS. Основной отличительной чертой малвари является то, что Thanatos удаляет с зараженной машины любые конкурирующие вредоносы. AlphaLeon является автором этого трояна.
Злоумышленник продает Thanatos как услугу по подписке, но чтобы его разработка была привлекательной для потенциальных покупателей, троян должен работать на большом количестве хостов. По сути, AlphaLeon нужен ботнет, и чем больше он будет – тем лучше.
Чтобы быстро распространить максимальное количество копий своей малвари, AlphaLeon придумал атаковать инфраструктуру Invision Power Services. Для этого злоумышленник планировал найти и эксплуатировать уязвимость в стеке IPS, и добраться до хостинговой платформы IPS Community Suite, работающей на серверах Amazon Web Services. Пробравшись в систему, AlphaLeon собирался разместить на сайтах всех клиентов IPS эксплоит кит, который заражал бы трояном Thanatos посетителей ресурсов (через уязвимости в браузерах и браузерных плагинах).
Стоит отметить, что клиентами IPS являются и крупные компании, среди которых числятся Evernote, NHL, Warner Music Group, Bethesda Softworks и LiveNation. Кроме того, форумы IP.Board позволяют пользователям создавать собственные сайты и даже магазины.
Планам хакера не суждено было сбыться: ему помешали аналитики SurfWatch Labs. Исследователи пишут, что узнали о планирующейся атаке в даркнете, который они регулярно сканируют в поисках полезных данных и «наводок» такого рода. Судя по всему, когда аналитики заметили обсуждение грядущей атаки на IPS, AlphaLeon уже успел обнаружить столь нужную ему уязвимость в системе IPS. Во всяком случае, официальное сообщение SurfWatch Labs гласит, что специалисты уведомили Invision Power Services о некой бреши в их инфраструктуре.
Детали пока не раскрываются, так как Invision Power Services всё еще проводит собственное расследование инцидента. Известно, что до предупреждения исследователей, сотрудники IPS не знали о компрометации своих систем. Также сообщается, что входной точкой для атаки злоумышленника, скорее всего, была некая старая уязвимость в непропатченном вовремя ПО.