Când serverele virtuale comerciale rămân neprotejate, ele devin practic platforme ideale pentru rețele proxy exploatate de infractori cibernetici. Este vorba despre SystemBC, un botnet proxy activ cel puțin din 2019, care compromite VPS-uri la nivel global pentru a dirija trafic malițios și a masca comunicările de comandă și control.
Istoria botneturilor nu e nouă: de la troieni timpurii la rețele complexe, atacatorii au urmărit constant același scop, acces persistent și discret. Totuși, SystemBC operează puțin altfel: țintește servere virtuale comerciale cu patch-uri neaplicate și favorizează cantitatea în locul camuflajului. Cercetătorii de la Black Lotus Labs, din cadrul Lumen Technology, au constatat că rețeaua rulează în jur de 1.500 de „bots” activi zilnic, majoritatea fiind VPS-uri furnizate de mari companii comerciale. Aceste mașini compromise rămân infectate pe termen lung: aproape 40% dintre ele sunt sub controlul atacatorilor mai mult de o lună, iar numărul mediu de vulnerabilități găsite pe aceste sisteme este de circa 20, dintre care cel puțin una cu severitate critică. Un exemplu extrem identificat de echipă a fost un VPS din Alabama cu 161 de vulnerabilități raportate de platforma Censys.
Funcționarea rețelei este pragmatică: operatorii SystemBC instalează malware care transformă VPS-urile în proxii fiabile, capabile să susțină volume mari de trafic. Cercetătorii au notat un caz în care un IP a generat peste 16 gigabytes de trafic proxy într-o singură zi, mult peste nivelurile întâlnite la rețelele proxy obișnuite. Această capacitate este utilă pentru clienții care necesită trafic stabil și constant, precum serviciile de web-scraping sau rețelele proxy comerciale care comercializează acces pe nivele de calitate diferite.
SystemBC nu este doar o rețea privată; are o arhitectură compusă din peste 80 de servere de comandă și control care leagă clienții de proxii infectate și susțin alte servicii ilegale. Un serviciu numit REM Proxy se bazează în proporție de circa 80% pe botnetul SystemBC pentru a furniza pachete proxy cu performanțe variate. Alți clienți importanți incluși în investigație sunt un mare serviciu rus de web-scraping și un furnizor din Vietnam cunoscut ca VN5Socks sau Shopsocks5. În paralel, operatorii SystemBC folosesc rețeaua pentru propriile operațiuni, de exemplu brute-force pe credențiale WordPress, care probabil sunt vândute brokerilor ce injectează site-urile compromise cu cod malițios.
Un detaliu tehnic semnificativ a dezvăluit mecanismul de infectare: un server recent compromis descarcă un script shell cu comentarii în limba rusă, iar scriptul declanșează simultan toate probele SystemBC găsite pe acel host. Analizele Black Lotus Labs au identificat și un IP, 104.250.164[.]214, ce pare central în recrutarea victimelor și găzduiește cele 180 de mostre de malware SystemBC adunate. Rețeaua s-a dovedit rezilientă în fața unor operațiuni de aplicare a legii, cum a fost Endgame, care vizau distribuțiile de malware pentru mai multe botneturi.
Pe scurt, dintr-o perspectivă tehnică, SystemBC funcționează ca o infrastructură proxy la scară: compromite VPS-uri prost administrate, le menține compromise pe termen lung pentru a furniza trafic stabil clienților și le conectează printr-un set extins de servere C2. Pentru organizații, recomandarea evidentă este inventarierea rapidă a VPS-urilor, aplicarea patch-urilor, monitorizarea traficului și semnalarea indicatorilor de compromitere furnizați de cercetători. Black Lotus Labs a publicat o analiză tehnică detaliată și indicatori de compromitere pentru a sprijini detectarea și blocarea tentativelor de infectare.
Datele privind 1.500 de bots zilnici, 80+ servere C2, exemple precum IP-ul 104.250.164[.]214 și cazul VPS-ului cu 161 de vulnerabilități ilustrează cât de profitabil și stabil poate fi exploatat un ecosistem de VPS-uri neglijate. Sistemele vulnerabile din infrastructura comercială nu reprezintă doar o problemă locală; ele alimentează servicii transnaționale de proxy care susțin activități precum scraping, vânzarea de credențiale și distribuirea de payload-uri. Ce măsuri crezi că ar trebui să adopte furnizorii de VPS pentru a diminua astfel de abuzuri?
Fii primul care comentează