バックドア設置用のハッキングツールに設置されているバックドアをセキュリティ企業が取得するハッカーの食物連鎖

セキュリティ企業のwatchTowrが、バックドア設置用のハッキングツールに設置されているバックドアを突き止め、法律の範囲内でデータを収集・分析していることを明らかにしました。
Backdooring Your Backdoors - Another $20 Domain, More Governments
https://labs.watchtowr.com/more-governments-backdoors-in-your-backdoors/

他人のサーバーに何らかの手段で侵入することに成功したとき、多くのハッカーは今後簡単に当該サーバーを利用できるようにするためのバックドアを設置します。バックドアを設置するためのツールとしてさまざまなウェブシェルが開発されていますが、watchTowrによると多くのウェブシェルにはウェブシェル自体にバックドアが用意されているとのこと。
例えば以下の画像は「r57shell」というウェブシェルです。r57shellには、r57shellが新たに設置された場合に自身についての情報をrst.void.ruに送信する仕組みが用意されており、ハッカーが苦労してターゲットのサーバーに侵入してr57shellを設置するとrst.void.ruの管理者に当該サーバーのr57shellを利用されてしまいます。つまり、ハッカーがr57shellを利用する限り、rst.void.ruの管理者は苦労せずにさまざまなサーバーのバックドアを利用可能になるというわけ。

以下は「C99Shell」という別のウェブシェルです。多くのウェブシェルにはパスワード保護機能が用意されており、ウェブシェルの設置アドレスが漏えいしてもパスワードが流出しなければ他人にバックドアを利用されることはありません。しかし、C99Shellのパスワード認証にはおそらく意図的に脆弱(ぜいじゃく)性のあるコードが使用されており、C99Shellを設置したハッカーだけでなくC99Shellの製作者などの他人がパスワード認証を突破できるようになっています。

watchTowrはさまざまなウェブシェルを調査し、それぞれのウェブシェルに指示を出しているドメインを突き止めました。そのうち40件以上のドメインがすでに使用されていない状態だったため、watchTowrはドメインを取得してログを記録・分析したとのこと。分析の結果、4000個以上のサーバーにバックドアが設置されており、うち3件はナイジェリア連邦共和国高等裁判所のものだったと述べられています。
また、watchTowrのブログにはイメージ図として下図が掲載されています。スクリプトキディが他人のサーバーを使用するためにバックドアを設置し、ウェブシェルの開発者が他人のバックドアを使用するためにウェブシェルにバックドアを設置し、そしてセキュリティ企業のwatchTowrがウェブシェルのバックドアを利用している様子がうかがえます。ハッカーにも食物連鎖があるというわけです。