В последние годы кибербезопасность стала одним из ключевых направлений защиты информационных систем и цифровой инфраструктуры. Несмотря на повышение уровня защиты и использование новых технологий, злоумышленники продолжают выявлять слабые места в системах, используя их для собственных целей. Одним из таких уязвимых элементов стал Java Debug Wire Protocol (JDWP) — протокол, предназначенный для отладки Java-приложений. В условиях неправильной конфигурации и отсутствия защиты JDWP превращается в легкую цель для атакующих, что приводит к серьезным последствиям, включая удаленное выполнение кода и внедрение вредоносных майнеров. При этом одновременно широкое распространение получила новая угроза — ботнет Hpingbot, специализирующийся на DDoS-атаках через SSH незащищенные сервисы.
JDWP представляет собой протокол отладки, который позволяет разработчикам взаимодействовать с работающими Java-приложениями для диагностики и устранения ошибок. В нормальных условиях этот протокол используется только в локальной сети или контролируемой среде разработки и не предназначен для открытого доступа в интернете. Однако по ряду причин, включая ошибки при настройке систем и автоматический запуск серверов отладки в популярных инструментах CI/CD и других приложениях, сервис JDWP оказывается доступным извне без какой-либо аутентификации. Это создает серьезную угрозу, так как злоумышленники получают возможность подключаться к JVM (Java Virtual Machine), выполнять произвольные команды, и фактически берут контроль над запущенными приложениями. Исследования специалистов из Wiz выявили, что атакующие используют эту уязвимость для установки и запуска майнеров криптовалют, в частности, модифицированной версии популярного открытого майнера XMRig.
Отличительной особенностью такого майнера является жестко зашитая конфигурация, благодаря чему обходятся методы обнаружения, основанные на анализе командных аргументов. Кроме того, злоумышленники используют специальные прокси-серверы майнинговых пулов, чтобы скрыть адреса криптокошельков, усложняя расследование и отслеживание транзакций. В наблюдаемых атаках через JDWP злоумышленники сначала сканируют интернет на предмет открытых портов 5005, характерных для соединений отладчика Java. Затем они инициируют handshake, подтверждающий активность и готовность сервиса к взаимодействию. После этого выполняется команда curl, загружающая вредоносный скрипт, который уничтожает конкурирующие майнинговые процессы и другие ресурсоемкие приложения, чтобы максимально использовать вычислительную мощность жертвы.
Дальнейшие шаги включают загрузку вредоносного майнера в скрытую директорию, установку задач в cron для обеспечения постоянного функционирования и сохранения присутствия, а также очистку следов вредоносного ПО. Подобная стратегия позволяет превращать инфраструктуру жертвы в скрытый объект майнинга, при этом оставаясь незамеченной на длительное время. Среди затронутых приложений, помимо TeamCity, включая Jenkins, Selenium Grid, Elasticsearch, Quarkus, Spring Boot и Apache Tomcat, что свидетельствует о широкой зоне риска. Статистика сканирований, предоставленная GreyNoise, показывает тысячи IP-адресов, которые в течение суток пытаются обнаружить JDWP-окружения; значительная часть из них признается вредоносной и подозрительной. География включат Китай, США, Германию, Сингапур и Гонконг.
Одновременно с этим, внимание специалистов привлекло новое вредоносное ПО под названием Hpingbot. Разработанное на языке Go, это программное обеспечение является новым ботнетом, способным заражать как Windows, так и Linux устройства. Основная цель Hpingbot — организация распределенных DDoS-атак с использованием стандартного сетевого инструмента hping3. В отличие от предыдущих ботнетов, таких как Mirai или Gafgyt, Hpingbot представляет собой полностью оригинальную разработку, что затрудняет борьбу с ним на основе традиционных шаблонов и сигнатур. Одним из ключевых векторов проникновения для Hpingbot становятся незащищенные SSH-сервисы.
Злоумышленники проводят атаки методом перебора паролей (password spraying), что позволяет получить доступ к системам с плохо настроенной аутентификацией. После успешного вторжения выполняется скрипт, который определяет архитектуру процессора и загружает соответствующую версию вредоносного ПО. При этом происходит прекращение работы предыдущих экземпляров трояна для исключения конкуренции и максимального использования ресурсов хоста. Использование Pastebin в качестве средства хранения команд и адресов управления делает структуру управления ботнетом особенно скрытой и устойчивой. Вместо прямого обращения к C2-серверам, зараженные устройства периодически обращаются к общедоступным онлайн-платформам, откуда получают обновления или новые задачи.
Это усложняет обнаружение и блокировку управляющей инфраструктуры. Важно отметить, что несмотря на использование hping3 под Linux для проведения атак, Windows-версия Hpingbot не может использовать данный инструмент напрямую, что заставляет злоумышленников использовать альтернативные методы. Тем не менее активность вредоносного ПО на платформе Microsoft остается столь же интенсивной, что подтверждает попытки расширения функционала и включения в арсенал дополнительных вредоносных компонентов. Таким образом, Hpingbot не ограничивается исключительно DDoS-атаками, а направлен на создание масштабируемой инфраструктуры распространения различных вредоносных программ. Исследователи также обнаружили наличие в исходном коде Hpingbot комментариев на немецком языке, что может указывать на участие разработчиков из немецкоговорящих регионов или использование кода в условиях тестирования перед активным развёртыванием.
Целями для DDoS-атак выступают в основном страны с высоким уровнем технологической инфраструктуры: Германия, США и Турция. Выводы из описанных тенденций подчеркивают необходимость повышения уровня киберзащиты в организациях, использующих Java и сервисы с JDWP, а также обязательный аудит конфигураций SSH-сервисов. Основные рекомендации включают отключение отладочных интерфейсов в продуктивных окружениях, применение комплексных систем аутентификации и ограничение доступа к сервисам только проверенным и доверенным источникам. Современные методы защиты должны учитывать не только очевидные векторы атак, но и те, которые связаны с инструментами разработки и эксплуатации ПО, традиционно не рассматриваемыми как уязвимости. Для Java-приложений рекомендуется использовать дополнительные средства контроля доступа к JDWP или обходить его использование на серверах, доступных из интернета.
Появление Hpingbot показывает, что злоумышленники продолжают развивать новые технологии для автоматизации атак и увеличения эффективности вредоносных кампаний. Использование легальных инструментов вроде hping3 и общедоступных интернет-ресурсов для управления увеличивает скрытность и усложняет работу по обнаружению таких угроз. В конечном итоге, постоянный мониторинг сетевой активности, внедрение современных систем обнаружения и реагирования на инциденты, а также обучение сотрудников безопасности — ключевые элементы для защиты от подобных угроз. Только комплексный подход позволит минимизировать риски и повысить устойчивость цифровой инфраструктуры к современным кибератакам.
