Mer enn 4000 nettstedssårbarheter deaktivert på grunn av utløpte domenenavn

Ifølge BleepingComputer oppdaget to eksperter fra cybersikkerhetsselskapet watchTowr, Benjamin Harris og Aliz Hammond, mange utløpte domener som ble brukt til å kontrollere uautoriserte tilgangspunkter over hele verden. Ved å registrere domenene ovenfor på nytt tok forskerteamet kontroll og forhindret at nettstedssårbarhetene ble utnyttet igjen i fremtiden.

For å gjøre dette, satte forskerne opp et system for å registrere forespørsler fra den involverte skadevaren. De fant ut at programvaren fortsatt kjørte og sendte forespørsler fra kompromitterte systemer, selv om de ikke lenger var aktivt i drift. Gjennom dette identifiserte de en rekke ofre og populære kaprere som r57shell, c99shell og China Chopper.

Disse uautoriserte tilgangspunktene ble installert på mange servere som tilhørte myndigheter, universiteter og store organisasjoner over hele verden . Blant ofrene var systemer i Kina, Thailand, Sør-Korea, Nigeria og Bangladesh. Blant dem ble noen systemer tilhørende myndigheter og domstoler i Kina kompromittert.

Programvaren varierer i kompleksitet fra avanserte hackingverktøy brukt av organiserte hackergrupper til enklere verktøy, noe som får forskere til å mistenke at flere grupper er involvert, med varierende nivåer av ekspertise. Noen kilde-IP-adresser har blitt sporet til Hongkong og Kina, men eksperter sier at disse bare kan være mellomliggende servere, ikke et definitivt bevis på opprinnelsen til angrepene.

Noe av den kompromitterte programvaren har blitt knyttet til den beryktede Lazarus-gruppen, men i dette tilfellet sier eksperter at den kan ha blitt gjenbrukt av andre angripere.

På publiseringstidspunktet var antallet oppdagede sårbarheter 4000, men forskere advarer om at det faktiske tallet kan være mye høyere ettersom ikke alle kompromitterte systemer er identifisert. Å ta kontroll over og deaktivere disse sårbarhetene anses som et viktig tiltak for å forhindre at de utnyttes til ondsinnede formål i fremtiden.