Badacze z Kaspersky Lab wykryli globalne forum – xDedic, na którym cyberprzestępcy mogą kupować i sprzedawać dostęp do zhakowanych serwerów w cenie od 6 dolarów. Rynek xDedic, którym kieruje prawdopodobnie rosyjskojęzyczne ugrupowanie, oferuje obecnie dostęp do 70 624 zhakowanych serwerów z różnych części świata – także z Polski.
Wiele spośród nich przechowuje lub zapewnia dostęp do popularnych internetowych portali i usług konsumenckich, a na niektórych zainstalowane jest oprogramowanie służące do obsługi poczty e-mail, księgowości oraz terminali sprzedaży (PoS). Serwery te mogą zostać wykorzystane do ataków na infrastrukturę oraz stanowić „bazę” dla szerszych działań, podczas gdy ich właściciele, łącznie z rządami, korporacjami i uniwersytetami, w nikłym stopniu zdają sobie sprawę z tego, co się dzieje, lub w ogóle nie są tego świadomi.
xDedic to dobitny przykład nowego typu rynku cyberprzestępczego: takiego, który jest dobrze zorganizowany, wspierany i oferuje wszystkim klientom, od cyberprzestępców nowicjuszy po ugrupowania APT, szybki, tani i łatwy dostęp do legalnej infrastruktury, dzięki której ich przestępstwa mogą pozostać niewykryte przez jak najdłuższy czas.
Kaspersky Lab został poinformowany o istnieniu xDedic przez europejskiego dostawcę usług internetowych. Firmy pracowały wspólnie, aby zbadać sposób działania forum. Proces ten jest prosty i precyzyjny: hakerzy włamują się do serwerów, często za pomocą ataków metodą siłową, i dostarczają dane uwierzytelniające do serwisu xDedic. Następnie serwery są sprawdzane pod kątem konfiguracji, pamięci, oprogramowania, historii przeglądanych stron i innych aspektów – wszystkiego, czego klienci mogą chcieć się dowiedzieć przed zakupem. Na koniec zhakowane maszyny są dodawane do coraz większego wykazu online, który oferuje m.in. dostęp do:
-
serwerów należących do sieci rządowych, korporacji i uniwersytetów;
-
serwerów, które przechowują pewne strony internetowe i usługi lub oferują do nich dostęp, w tym portale poświęcone grom, zakładom, portale randkowe, sklepy online, serwisy związane bankowością i płatnością online, usługi telefonii komórkowej, strony dostawców usług itd.;
-
serwerów z zainstalowanym oprogramowaniem, które może ułatwić przeprowadzenie ataku, łącznie z bezpośrednim oprogramowaniem pocztowym, finansowym i obsługującym transakcje płatnicze (PoS).
Za jedyne 6 dolarów za serwer członkowie forum xDedic mogą uzyskać dostęp do wszystkich danych znajdujących się na maszynie, jak również wykorzystać ją jako platformę dla dalszych ataków z użyciem szkodliwego oprogramowania. Mogą one obejmować ataki ukierunkowane, szkodliwe oprogramowanie, ataki DDoS, phishing, socjotechnikę oraz ataki z wykorzystaniem oprogramowania adware.
Legalni właściciele serwerów, w tym sieci rządowe, korporacje i uniwersytety, często nie są świadomi, że nastąpiło jakiekolwiek włamanie do ich infrastruktury IT lub wykorzystanie jej do szkodliwych działań. Co więcej, po przeprowadzeniu swojej kampanii cyberprzestępcy mogą ponownie wystawić dany serwer na sprzedaż i cały proces może rozpocząć się od nowa.
Rynek xDedic prawdopodobnie zaczął działać w 2014 r., a jego popularność znacznie wzrosła od połowy 2015 r. W maju 2016 r. oferował na sprzedaż 70 624 serwerów ze 173 państw, wystawionych w imieniu 416 różnych sprzedających. Wśród 10 najbardziej dotkniętych państw znalazły się: Brazylia, Chiny, Rosja, Indie, Hiszpania, Włochy, Francja, Australia, Afryka Południowa i Malezja. W przypadku serwerów zlokalizowanych w Polsce forum xDedic oferuje dostęp do niemal 1 300 maszyn.
Ugrupowanie stojące za xDedic posługuje się prawdopodobnie językiem rosyjskim i utrzymuje, że dostarcza jedynie platformę handlową, nie posiadając żadnych powiązań ze sprzedawcami.
„xDedic to kolejny dowód na rozwój cyberprzestępczości jako usługi poprzez dodawanie komercyjnych ekosystemów oraz platform handlowych. Jego istnienie sprawia, że tanie, szybkie i skuteczne przeprowadzenie potencjalnie destrukcyjnych ataków nigdy wcześniej nie było łatwiejsze zarówno dla posiadających niewielkie umiejętności cyberprzestępców, jak i wspieranych przez rządy ugrupowań APT. Ostateczne ofiary to nie tylko klienci czy organizacje będące celem ataków, ale również niczego nieświadomi właściciele serwerów: prawdopodobnie nie mają oni pojęcia, że ich urządzenia są porywane w celu wykorzystania w różnych atakach, tuż pod ich nosem” – powiedział Costin Raiu, dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT), Kaspersky Lab.
Porady bezpieczeństwa
Eksperci z Kaspersky Lab przygotowali kilka porad, które pozwolą właścicielom serwerów zadbać o to, by ich infrastruktura nie była wykorzystywana bez ich wiedzy. Należy:
-
wdrożyć solidne rozwiązanie bezpieczeństwa w ramach wszechstronnej, wielopoziomowej polityki bezpieczeństwa całej firmowej infrastruktury IT,
-
egzekwować stosowanie silnych haseł w ramach procesu uwierzytelnienia serwera,
-
wdrożyć ciągły proces zarządzania łatami,
-
przeprowadzać regularny audyt bezpieczeństwa infrastruktury IT,
-
rozważyć zainwestowanie w usługi analizy zagrożeń, które dostarczą informacje na temat nowych zagrożeń i zapewnią wgląd w perspektywę przestępczą, co pomoże ocenić poziom ryzyka.
