Istraživači iz kompanije Kaspersky Lab posmatrali su jedan globalni forum, gde sajber kriminalci mogu da kupe i prodaju pristup kompromitovanim serverima za manje od 6 američkih dolara.
Zvanično press saopštenje
Na XDedic tržištu, kojim najverovatnije upravlja grupa sa ruskog govornog područja, trenutno se nalazi 70.624 hakovanih RDP servera (Remote Desktop Protocol), koji su slobodni za prodaju. Mnogi serveri su domaćini ili pružaju pristup popularnim sajtovima za krajnje potrošače i pružanje usluga, dok neki od njih imaju instaliran softver za direktnu poštu, finansijsko računovodstvo i sistem za prodaju (PoS). Oni se mogu koristiti za targetiranje infrastrukture vlasnika ili kao platforma za lansiranje ozbiljnijih napada, pri čemu vlasnici, uključujući i državne organe, korporacije i univerzitete, nemaju ideju o tome šta se zapravo dešava.
xDedic je dobar primer nove vrste sajber kriminalnog tržišta: organizovano tržište uz dobru podršku, koje ima ponudu za sve vrste sajber kriminalaca, od početnika do ATP grupa, i obezbeđuje im brz, jeftin i jednostavan pristup legalnim infrastrukturama pojedinih organizacija, što kriminalcima omogućuje da neprimetno rade duži vremenski period.
Evropski provajder internet usluga (ISP) upozorio je kompaniju Kaspersky Lab o postojanju xDedic-a, a ove dve kompanije su zajedničkim snagama istražile na koji način funkcioniše ovaj forum. Postupak je jednostavan i temeljan: hakeri kompromituju servere, najčešće putem nasilnih napada, i donose akreditive na xDedic. Kriminalci zatim proveravaju RDP kofiguraciju hakovanih servera, njihovu memoriju, softver, istoriju pretrazivanja, itd. - sve opcije koje kupci mogu pretražiti pre kupovine. Nakon toga, hakovani serveri bivaju ubačeni u inventar koji podrazumeva pristup:
- Serverima koji pripadaju mrežama državnih institucija, korporacija i univerziteta
- Serverima koji imaju pristup ili hosting za određene sajtove i usluge, uključujući video igrice, sajtove za upoznavanje, klađenje, onlajn kupovinu, onlajn bankarstvo i transakcije, mreže mobilnih operatera, internet usluge i veb pretraživače
- Serverima sa prethodno instaliranim softverom koji može da olakša napad, preko direktne pošte, finansijskih i PoS softvera
- Svi serveri podržani su hakerskim alatima i alatima za ispis sistemskih informacija.
Za samo 6 američkih dolara po serveru, članovi xDedic foruma mogu pristupiti svim podacima servera, a takođe ga mogu koristiti kao platformu za dalje maliciozne napade. Među njima mogu biti ciljani napadi, malver napadi, DDoS, „fišing“, socijalni inženjering i adware napadi.
Legitimni vlasnici servera, ugledne organizacije kao što su mreže državnih institucija, korporacije i univerziteti, često nisu ni svesni da je njihova IT infrastruktura kompromitovana. Pored toga, čak i nakon završetka kampanje, napadači mogu ponovo prodavati pristup serveru i ceo proces može biti ponovljen iz početka.
Nelegalno xDedic tržište najverovatnije je otvoreno tokom 2014. godine, a značajno mu je porasla popularnos od sredine 2015. godine. U maju 2016. godine, čak 70.624 servera iz 173 zemalja bilo je izloženo za prodaju kod 416 različitih prodavaca. Na listi 10 najugroženijih zemalja nalaze se: Brazil, Kina, Rusija, Indija, Španija, Italija, Francuska, Australija, Južna Afrika i Malezija. Najverovatnije je da je grupa koja stoji iza xDedic tržišta sa ruskog govornog područja, a ta grupa tvrdi da samo obezbeđuje platformu za trgovinu i da nije ni u kakvoj vezi sa prodavcima na ovom tržištu.
„xDedic je dodatna potvrda da se sajber kliminal kao vrsta usluge širi kroz komercijalne ekosisteme i trgovinske platforme. Njeno postojanje olakšava posao svima, od amaterskih malver napadača do APT kampanja koje imaju podršku određenih država, i omogućuje im da se priključe potencijalno razarajućim napadima na jeftin, brz i efikasan način. Krajnje žrtve nisu samo potrošači ili organizacije na koje je usmeren napad, već i vlasnici servera: oni će najverovatnije biti potpuno nesvesni da su njihovi serveri hakovani nekoliko puta i korišćeni za sprovođenje različitih napada”, izjavio je Kostin Raju (Costin Raiu), direktor tima za globalno istraživanje i analizu u kompaniji Kaspersy Lab.
Kompanija Kaspersky Lab savetuje organizacije da:
- Instaliraju jaka bezbednosna rešenja kao deo sveobuhvatnog višeslojnog pristupa IT bezbednosti korporativne infrastrukture
- Uvedu korišćenje jakih lozinki kao deo procesa autentifikacije korisnika server
- Uvedu politiku konstantnog ažuriranja bezbednosnih zakrpi
- Sprovode redovnu bezbednosnu kontrolu IT infrastrukture
- Razmisle o ulaganju u usluge koje će im omogućiti da dobiju adekvatne informacije o novim pretnjama, kao i uvid u kriminalne aktivnosti, kako bi na bolji način procenili nivo rizika