Začátkem ledna letošního roku jsme byli svědky prudkého nárůstu útoků využívajících PHP WebShell ve snaze zneužít známou zranitelnost Drupalu nazvanou „Drupalgeddon“.

Odhalený kód obsahoval několik zajímavostí: slova v indonéštině, různé odkazy na úložiště kódů a také několik odkazů na dříve neznámý tým „plaNETWORK“. V kódu byla také fráze, na kterou výzkumný tým následně ještě několikrát narazil: „We Are Not Hacker.“

Check Point Research se postupně dostal až k indonéské skupině, která nabízela běžné IT služby. Ovšem webové stránky nebyly aktualizované, obsahovaly nabídku, jejíž platnost vypršela už na začátku roku 2018, a servery byly offline. Na první pohled nebylo pravděpodobné, že by společnost stála i za dříve detekovanými PHP WebShell útoky. Ale webové stránky obsahovaly také odkazy na různé sociální sítě, včetně Facebooku a Twitteru. Účet na Twitteru používá stejný slogan „We Are Not Hacker“, jaký byl použit také ve WebShell kódu.

Tým Check Point Research pomocí dalších nástrojů a analýz odhalil řadu členů skupiny plaNETWORK, kteří na různých fórech dávají rady ohledně hackování a chlubí se svými útoky, potvrdilo se tak, že se skutečně jedná o hackerskou skupinu.

Zdá se, že tato skupina, která začala jako IT poradenský tým nabízející legitimní služby, brzy přešla na „temnou stranu“ a členové si užívali pochybné zásluhy, které přinášejí značce plaNETWORK. Je důležité si uvědomit, že kyberútoky jsou nelegální bez ohledu na to, jak vznešenými poselstvími se je někdo snaží maskovat.

Více informací najdete v analýze týmu Check Point Research:

https://research.checkpoint.com/planetwork-face-to-face-with-cyber-crime/