Казино-призраки на серверах Windows: Google снова в опасности
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Исследователи кибербезопасности из ESET сообщают о масштабной кампании китайских хакеров, которые с декабря 2024 года заражают Windows-серверы для продвижения сомнительных сайтов азартных игр в поиске Google. Операция получила у специалистов имя GhostRedirector. Всего, по его данным, взломано как минимум 65 серверов.
После взлома хакеры разворачивают инструменты — в том числе две новых вредоносных программы под названиями Rungan (классическая «дверь на чёрный ход») и Gamshen. Если первый – это обычный бэкдор, то второй отвечает за хитрую манипуляцию поисковым продвижением: он маскируется под модуль серверов Internet Information Services (IIS) и вмешивается в работу только тогда, когда сервер посещает робо-паук Google (Googlebot).
Задача этого модуля — незаметно для обычных пользователей внедрять на сайт специальные скрытые SEO материалы и ссылки, чтобы искусственно повышать позицию подозрительных азартных платформ в поиске Google. Самое изящное — обычным посетителям сайты кажутся нормальными; вредонос проявляет себя только для выдачи Google. Владельцы серверов замечают атаку либо когда поисковик снижает рейтинг ресурса, либо когда накладывает санкции за подозрительное поведение.
Больше всего заражённых серверов обнаружено в Латинской Америке и Юго-Восточной Азии — в Бразилии, Перу, Таиланде и Вьетнаме, хотя отдельные случаи взлома отмечены даже в США. Однако основные цели злоумышленников — страны Южной Америки и Южной Азии. При этом атаки не были направлены на какую-либо одну отрасль: под раздачу попали образовательные, медицинские, страховые, транспортные, технологические и даже ритейлерские инфраструктуры.
ESET предполагает, что первоначальный доступ к серверам был получен через уязвимости типа SQL-инъекция. Затем взломщики запускали PowerShell для скачивания инструментов повышения привилегий и загрузки других вредоносных программ. На последнем этапе запускались сами Rungan и Gamshen, чтобы обеспечить готовый к манипуляциям канал.
Вся эта история — напоминание: даже «сервер с Windows в Бразилии» теперь может внезапно стать фигурантом странных казино-шоу на выдаче Google.
PEREC.RU
Статья — изящный образец тредовой паранойи, сдобренной ощущением, что «интернет — это могила ожиданий безопасности». Китайские хакеры не стали заморачиваться банальным фишингом: они взяли и устроили техногенный шабаш с Windows-серверами в главной роли. Пафосные названия типа GhostRedirector и Gamshen звучат как бюджетные монстры из китайских сериалов — так и ждёшь, что из серверной ночью выползет рассерженный бэкенд.
Скучный корпоративный миф: территориально атакуют Латинскую Америку, а на деле досталось всем. Сектор безопасности — как у древних императоров: кто не успел обновить, тому в общий котёл. Смешно, что Rungan и Gamshen, работающие как пара невидимых жонглеров, могут по-тихому отклонять SEO даже у магазина автозапчастей.
Классика жанра — сначала SQL-инъекция (ещё бы), потом PowerShell, а вот и цирковая команда на финале. Печально, но за выдыхающимся юмором простое зерно: если вы считали, что обычный сайт невкусен для хакеров, перечитайте местные новости.
Логическая цепочка прозрачна, как строки китайского кода: где царапина, там и караван пиратских казино. Учитесь отличать обычный SEO от подкрученного – иначе однажды обнаружите собственный портал в десятке топовых… по «лучшим игорным рулеткам». Лучше пойти и сменить пароль. Или настроить бэкапы, пока не поздно.
