Криминальный сервис для DDoS-атак оказался взломан обиженным хакером

Криминальный сервис для DDoS-атак оказался взломан обиженным хакером

Киберкриминальный сервис TrueStresser, позволяющий проводить DDoS-атаки по найму, сам оказался жертвой хакерской атаки. В результате нее в общий доступ оказались «слитыми» база данных, пароли, почтовые адреса и захэшированные пароли более чем к трем сотням пользовательских аккаунтов, а также незашифрованные пароли еще к 16 аккаунтам.

Свой улов хакер выложил на сервисах Pastebin и Hastebin. На первом, помимо данных к пользовательским аккаунтам, обнаружились API-вызовы к DDoS-сервису более высокого уровня, а на Hastebin — еще и данные для доступа базы данных к контрольной панели — интерфейса, с помощью которого пользователи управляют атаками, пишет cnews.ru.

Судя по комментариям взломщика, его по какой-то причине забанили в сервисе. За это он и отомстил как мог.

Аренда мощностей

Слитые API-вызовы позволили выяснить, что TrueStresser арендует инфраструктуру у Defcon.pro, ресурса, который позиционируется как сервис по защите от DDoS-атак, но судя по всему (в том числе по содержанию их собственного сайта) занимается как раз-таки проведением «стресс-тестов» — то есть, DDoS-атак.

Владельцы Defcon утверждают, что обслуживают более 7700 клиентов, и за время своего существования произвели более миллиона «стресс-тестов».

Утекшие данные обнаружил исследователь безопасности Деррик Фармер (Derrick Farmer). Используя один из утекших паролей, он смог войти в аккаунт. Правда, очень скоро на IP-адрес, который он использовал для входа, была направлена DDoS-атака типа ICMP-флуд. По мнению Фармера, это означает, что владельцы TrueStresser в курсе утечки и пытаются таким образом нейтрализовать любые попытки использовать утекшие пароли.

«Во внутренних конфликтах в киберпреступном мире нет ничего нового, — комментирует Роман Гинятуллин, эксперт по информационной безопасности компании SECConsultServices. — Преступность есть преступность, и взаимоотношения между игроками там соответствующие. В теории от подобных взломов хакерами хакеров могут выиграть правоохранительные органы, получающие шанс нейтрализовать вредоносный ресурс, и, естественно, потенциальные жертвы атак».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

11-летняя уязвимость в Linux-команде wall позволяла утащить sudo-пароли

Последние 11 лет в команде «wall» пакета «util-linux», являющегося частью операционной системы Linux, присутствовала уязвимость, позволяющая атакующему без высоких прав утащить пароли пользователя или изменить содержимое буфера обмена.

Проблему отслеживают под идентификатором CVE-2024-28085, эксперты дали ей имя WallEscape. Согласно описанию, брешь можно найти во всех версиях пакета за последние 11 лет, вплоть до выпущенной на днях 2.40.

К счастью, эксплуатация бага возможна только при определённых сценариях, однако она демонстрирует незаурядный способ кражи учётных данных целевого пользователя.

У атакующего должен быть доступ к Linux-серверу, на котором уже сидят несколько юзеров, подключившись в терминале. Такое бывает, например, когда студенты выполняют задания в режиме онлайн.

На WallEscape указал исследователь в области кибербезопасности Скайлер Ферранте (TXT). По его словам, это проблема некорректной нейтрализации escape-последовательностей команды «wall».

Это команда используется в Linux для передачи сообщений на терминалы всех пользователей, вошедших в одну систему (например, тот же сервер). Из-за некорректной фильтрации при обработке ввода неаутентифицированный злоумышленник может использовать escape-символы для создания фейкового запроса SUDO.

Если целевой пользователь клюнет на уловку и введёт пароль в запрос, атакующий спокойно получит его. Следует учитывать, что эксплуатация возможна только в том случае, если утилита «mesg» активна и у команды «wall» есть права на setgid.

Код демонстрационного эксплойта доступен на GitHub. Чтобы устранить уязвимость, администраторам достаточно забрать права на setgid у команды «wall» или же урезать функциональность передачи сообщений в терминал (использовать флаг «n» с командой «mesg»).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru