Hackerii vând acces la zeci de mii de servere guvernamentale şi educaţionale
0Specialişti în securitate cibernetică au identificat o piaţă neagră pe care hackerii tranzacţionează acces la zeci de mii de servere.
Specialişti Kaspersky au investigat un forum global, unde infractorii cibernetici pot vinde şi cumpăra acces la servere compromise, pentru doar şase dolari fiecare. Piaţa de desfacere se numeşte xDedic şi, din informaţiile disponibile, pare să fie condusă de o grupare de limbă rusă. Aceasta include în prezent 70.624 de servere RDP (Remote Desktop Protocol) atacate şi puse în vânzare. Multe dintre aceste servere găzduiesc sau oferă acces la site-uri şi servicii populare pentru consumatori, iar unele dintre ele au instalate programe pentru direct mail, contabilitate financiară şi procesare POS.
Acestea pot fi folosite pentru a ţinti infrastructurile posesorilor sau ca punct de lansare pentru atacuri mai mari, în timp ce proprietarii – inclusiv entităţi guvernamentale, corporaţii sau universităţi – nu au idee despre ce se întâmplă. XDedic este un exemplu sugestiv de piaţă nouă de desfacere pentru infractorii cibernetici: bine organizaţi, susţinuţi şi oferind pentru toată lumea – de la infractori cibernetici începători, la grupări APT – acces rapid, ieftin şi uşor la infrastructura organizaţională legitimă care le menţine activităţile ilegale ascunse cât mai mult posibil.
Un furnizor de Internet din Europa (ISP) a avertizat Kaspersky despre existenţa xDedic, iar cele două companii au colaborat pentru a investiga modul în care operează forumul. Procesul este simplu şi bine organizat: hackerii sparg serverele şi aduc datele găsite acolo pe xDedic. Serverele sparte sunt apoi verificate în ceea ce priveşte configurarea RDP (Remote Desktop Protocol), memoria, programele, istoricul navigării pe Internet şi altele – toate caracteristicile pe care clienţii le pot căuta înainte să cumpere.
Ce fac hackerii când plătesc pentru un server
Pentru doar şase dolari bucata, membrii forumului xDedic pot accesa toate datele de pe un server şi îl pot folosi ca platformă pentru alte atacuri. Acestea ar putea include atacuri cu ţintă predefinită, cu programe malware, DDoS, phishing, atacuri de tip adware (cu publicitate nedorită) şi cu tehnici de social-engineering, printre altele.
Proprietarii legitimi ai serverelor – organizaţii prestigioase, inclusiv reţele guvernamentale, corporaţii şi universităţi – de multe ori nu ştiu că infrastructura lor IT a fost compromisă. În plus, odată ce o campanie a fost încheiată, atacatorii pot pune din nou la vânzare accesul la server şi tot procesul o ia de la capăt.
Datele de până acum arată că piaţa de desfacere xDedic a fost deschisă în 2014, iar popularitatea i-a crescut semnificativ pe la mijlocul anului 2015. În mai 2016, avea la vânzare 70.624 de servere din 173 de ţări, afişate în numele a 416 vânzători diferiţi. Topul primelor 10 ţări afectate include Brazilia, China, Rusia, India, Spania, Italia, Franţa, Australia, Africa de Sud şi Malaysia. Gruparea din spatele xDedid pare să fie vorbitoare de limbă rusă şi pretinde că oferă doar o platformă de desfacere şi nu are legături cu vânzătorii.