حراج اطلاعات ۷۰۰۰ سرور هکشده در یک بازار زیرزمینی
ایتنا - مجرمان و مهاجمان سایبری در دو سال گذشته به نوع جدیدی از بازار زیرزمینی پرداختند که به xDedic معروف است.
مجرمان و مهاجمان سایبری در دو سال گذشته به نوع جدیدی از بازار زیرزمینی پرداختند که به xDedic معروف است، در این پلتفرم، مجرمان سایبری میتوانند تعداد زیادی سرور هکشده از سراسر دنیا را خریداری کنند.
براساس این گزارش ایتنا از شبکههای دولتی گرفته تا سازمانی، هرگونه سروری در xDedic قابل دستیابی است و میانگین قیمتها هم تنها ۶ دلار برای هر سرور است. به این معنی که با پرداخت این مبلغ، خریدار می تواند به تمام اطلاعات روی سرور دست یافته و حتی ممکن است بتواند حملات مجددی نیز انجام دهد.
محققان در لابراتوار کسپرسکی در مورد فروم xDedic مقالهای منتشر ساختهاند که ۷۰۰۰ سرور در آن قربانی حملات سایبری شدهاند که این هک توسط یک گروه هکر روسی زبان بوده است.
اعضای سازنده فروم با ابزار ریموت سرور چندین یوزر را پشتیبانی میکند و همچنین دیگر ابزارهای هک proxy installers و sysinfo collectorsمی باشد که توسط محققان کسپرسکی گزارش شده است. هدف اصلی فروم xDedic خرید و فروش سرورهای هکشده ای است که از طریق ریموت در دسترس هستند.
محققان در مورد xDedic با همکاری یک ISP اروپایی به بررسی قربانیان پرداختند. بر اساس این گزارش در ماه مه ۲۰۱۶، نشان میدهد ۷۰,۶۲۴ سرور از ۱۷۳ کشور جهان برای فروش گذاشته شده بود. محققان گفتند میزان ۴۱۶ فروش در ماه مه و کمتر از ۴۲۵ در ماه آپریل رخ داده است. این در حالی است که بالای ۵۱۰۰۰ سرور از ۱۸۳ کشور جهان برای فروش روی این پلتفرم قرار داده شده بود. این آمار نشان میدهد که بر روی این فروم مدیریت مستقیم وجود داشته است.
هنگامی که کاربران برای استفاده از فروم xDedic ثبت نام میکنند آنها میتوانند برای دیدن لیستی از سرورهای در دسترس از داشبورد استفاده کنند. در این فروم برای هر سرور هکشده، لیستی از اطلاعات سیستم، دسترسیهای مدیریتی، ران بودن آنتیویروس بر روی سیستم، بروزر، اطلاعات آپتایم، سرعت آپلود و دانلود قابل دسترس است. ۳۲ درصد از سرور های هکشده در ماه مه و در کشورهای برزیل، چین، روسیه، هند و اسپانیا بود.
دسترسی از طریق ریموت دسکتاپ این امکان را به خریداران می دهد که بتوانند بصورت ریموت به سیستمهای در معرض خطر دسترسی داشته باشند و همچنین بتوانند بطور فزایندهای به سرورهای در دسترس، مانند؛ سرویسهای سازمانهای مالی، سیستمهای شرطبندی، فروشگاههای اینترنتی، سایتهای دوستیابی، شبکههای تبلیغاتی و غیره حمله کنند.
در بعضی موارد خریداران به دنبال میزبانی سرور برخی از نرمافزار های خاص مثل حسابداری، گزارشهای مالیاتی و نرمافزار های فروش بودند و علاوه بر اینها در پی نرمافزار ایمیل برای استفاده اسپم بودند. نرمافزار point of sales (نرمافزار فروش) از جمله نرمافزارهای محبوبی بود که محققان کسپرسکی اشاره کردند این نرمافزار در ۴۵۳ سرور از ۶۷ کشور در دسترس قرار گرفته است.
محققان کشف کردند که هریک از پارتنرها به پرتال و ابزار آنها دسترسی جداگانه خود را همچنان دارند. همچنین محققان اعلام کردند این پارتنرها با استفاده از یکی ازابزارهای اعتبارسنجی که SysScan نام دارد برای دسترسی به سرورهایی که در این فرومها فروخته شده است استفاده میکنند، آنها همچنین میگویند این ابزار اطلاعات سیستمی مانند سرعت دانلود و آپلود و همچنین نرمافزارهای نصبشده روی سرور را گزارش میدهد.
در یک دستگاهی که در آن SysScan پیدا شده بود محققان گزارش کردند آنها ابزاری (DUBrute and XPC ) را یافتند که با استفاده از روش ۱ Brute Forceبرای رسیدن به اطلاعات سرور استفاده میکردند. با استفاده از اطلاعات تروجان SCClient، کسپرسکی برای این بدافزار تلهگذاری کرد تا سرورهای هکشده با بدافزار مشابه را شناسایی کند. لابراتوار کسپرسکی گفت در عرض ۱۲ ساعت نخست ۳۶۰۰ آی.پی آدرس به آنها متصل شدند که سازمانهای دولتی و دانشگاهها هم جزء این آمار بودند و کسپرسکی مشتریان خود را از وجود این بدافزار آگاه کرده است.
همچنین یک ابزار دیگر روی دستگاههای به خطر افتاده پیدا شد که پورتهای مشخصی را روی سرورها باز میکند و آنها را به SOCKSهای غیرمجاز یا پروکسیهای HTTPS تبدیل میکند. محققان گفتند، xDedic ریموت دسکتاپ مخصوص خود را ساخته که مشتریان مجبورند اطلاعات لاگین را در این ریموت دسکتاپ کپی کنند.
کسپرسکی در گزارش خود حدس میزند تنوع و قیمت پایین سرور های موجود فقط در خدمت مجرمان نبوده بلکه باندهای ۲ATP هم از آن به خوبی سود بردهاند.
این گزارش میگوید؛ تعداد زیادی از سرورهایی که در بازار زیرزمینی xDedic برای فروش گذاشتهشده، جایگزین بسیار مناسب و ارزانی برای گردانندگان ATP هاییست که نمیخواهند ردی از خود باقی بگذارند. ۸ دلار، برای هدفی با منظور دسترسی به تمام اطلاعات پروفایل، قیمت ناچیز و ارزانی است. موضوعی که معمولاً نادیده گرفته میشود این است که؛ سرورهایی که با روش brute-force هک می شوند فرصت مناسبی را برای گردانندگان ATP ها فراهم میکنند تا بدون اینکه سوءظنی متوجه آنها شود کار خود را انجام دهند.
۱. Brute Force (بروت فورس) یکی از انواع حملات هکرها برای بدست آوردن رمزهای عبور است. در این روش هکر با استفاده از نرمافزارهای مخصوص سعی میکند تمام عبارتهای ممکن را بررسی کند.
۲. تهدید پیشرفته مستمر (Advanced persistent threat) منظور زیرمجموعهای از تهدیدهاست که در یک الگوی دراز مدت حملات نفوذی پیچیده علیه دولتها، شرکتها و فعالان سیاسی استفاده میشود. این اصطلاح به گروهی که پشت این حملات است نیز اشاره میکند.