Недавняя ошибка в настройках сервера в Иране привела к разоблачению сложной схемы ботнета. Аналитики Hunt.io, исследуя открытые сервера, нашли уязвимый узел с IP-адресом 185.221.239[.]162, содержащий конфиденциальные данные, включая исходный код и команды. Сервер принадлежал иранскому провайдеру Dade Samane Fanava и служил для более широкой инфраструктуры.
Анализ сертификатов TLS позволил раскрыть сеть из 15 узлов, включая семь в Финляндии и ещё семь в Иране. Основная цель сети заключалась не только в атаках, но и в обходе интернет-фильтрации с использованием Paqet и KCP для шифрования трафика.
В ходе анализа выяснилось, что сеть использовалась для DDoS-атак, а также для создания ботнета. Зловредные скрипты использовали списки учетных записей для массовых подключений. Операторы могли быстро управлять заражёнными устройствами и запускать масштабные атаки, тем самым демонстрируя, как ошибка может привести к серьёзным последствиям в кибербезопасности.
