Skupina plaNETWORK funguje na síti už sedm let. Teprve nyní se však podařilo bezpečnostním expertům odhalit, jak celá organizace funguje a jak škodí.

„Začátkem ledna letošního roku jsme byli svědky prudkého nárůstu útoků využívajících PHP WebShell ve snaze zneužít známou zranitelnost Drupalu nazvanou Drupalgeddon. Odhalený kód obsahoval několik zajímavostí: Slova v indonéštině, různé odkazy na úložiště kódů a také několik odkazů na dříve neznámý tým plaNETWORK,“ přiblížili výzkumníci z týmu Check Point Research.

„Nejsme hackeři”

Podle nich byla v kódu také fráze, která se několikrát opakovala: „We Are Not Hacker.“ Tedy česky: „My nejsme hackeři.“ Výzkumný tým se postupně dostal až k indonéské skupině, která nabízela běžné IT služby. Ovšem webové stránky nebyly aktualizované, obsahovaly nabídku, jejíž platnost vypršela už na začátku roku 2018, a servery byly offline.

„Na první pohled nebylo pravděpodobné, že by společnost stála i za dříve detekovanými PHP WebShell útoky. Ale webové stránky obsahovaly také odkazy na různé sociální sítě, včetně Facebooku a Twitteru. Účet na Twitteru používá stejný slogan „We Are Not Hacker“, jaký byl použit také ve WebShell kódu,“ popsali své zkoumání bezpečnostní experti.

Přešli na temnou stranu?

Tým Check Point Research pomocí dalších nástrojů a analýz odhalil řadu členů skupiny plaNETWORK, kteří na různých fórech dávají rady ohledně hackování a chlubí se svými útoky, potvrdilo se tak, že se skutečně jedná o hackerskou skupinu.

„Zdá se, že tato skupina, která začala jako IT poradenský tým nabízející legitimní služby, brzy přešla na temnou stranu a členové si užívali pochybné zásluhy, které přinášejí značce plaNETWORK. Je důležité si uvědomit, že kyberútoky jsou nelegální bez ohledu na to, jak vznešenými poselstvími se je někdo snaží maskovat,“ uzavřeli bezpečnostní experti.

S ohledem na probíhající vyšetřování však nechtěli žádné další podrobnosti poskytnout. Případem se již zabývá indonéská policie.