Cercetătorii Kaspersky Lab au investigat un forum global unde infractorii cibernetici pot vinde și cumpăra acces la servere compromise, pentru doar 6 dolari fiecare. Piața de desfacere xDedic, care pare să fie condusă de o grupare de limbă rusă, include în prezent 70.624 de servere RDP (Remote Desktop Protocol) atacate, puse în vânzare.
Multe dintre aceste servere găzduiesc sau oferă acces la site-uri și servicii populare pentru consumatori, iar unele dintre ele au instalate programe pentru direct mail, contabilitate financiară și procesare POS. Acestea pot fi folosite pentru a ținti infrastructurile posesorilor sau ca punct de lansare pentru atacuri mai mari, în timp ce proprietarii – inclusiv entități guvernamentale, corporații sau universități – nu au idee despre ce se întâmplă.
XDedic este un exemplu sugestiv de piață nouă de desfacere pentru infractorii cibernetici: bine organizați, susținuți și oferind pentru toată lumea – de la infractori cibernetici începători, la grupări APT – acces rapid, ieftin și ușor la infrastructura organizațională legitimă care le menține activitățile ilegale ascunse cât mai mult posibil.
Un furnizor de Internet din Europa (ISP) a avertizat Kaspersky Lab despre existența xDedic, iar cele două companii au colaborat pentru a investiga modul în care operează forumul. Procesul este simplu și bine organizat: hackerii sparg serverele și aduc datele găsite acolo pe xDedic.
Serverele sparte sunt apoi verificate în ceea ce privește configurarea RDP (Remote Desktop Protocol), memoria, programele, istoricul navigării pe Internet și altele – toate caracteristicile pe care clienții le pot căuta înainte să cumpere. După aceea, sunt adăugate într-un inventar online, aflat în continuă creștere, care include acces la:
- Servere aparținând rețelelor guvernamentale, corporațiilor și universităților
- Servere care au acces la sau găzduiesc anumite site-uri și servicii, inclusiv jocuri online, pariuri, servicii matrimoniale, cumpărături online, online banking și plăți online, rețele de telefonie mobilă, furnizori de Internet și browsere
- Servere cu software preinstalat care ar putea facilita un atac, inclusiv software pentru direct mail, financiar și pentru terminale POS
Toate acestea sunt susținute de instrumente de hacking și de informații de sistem.
Pentru doar 6 dolari bucata, membrii forumului xDedic pot accesa toate datele de pe un server și îl pot folosi ca platformă pentru alte atacuri. Acestea ar putea include atacuri cu țintă predefinită, cu programe malware, DDoS, phishing, atacuri de tip adware (cu publicitate nedorită) și cu tehnici de social-engineering, printre altele.
Proprietarii legitimi ai serverelor – organizații prestigioase, inclusiv rețele guvernamentale, corporații și universități – de multe ori nu știu că infrastructura lor IT a fost compromisă. În plus, odată ce o campanie a fost încheiată, atacatorii pot pune din nou la vânzare accesul la server și tot procesul o ia de la capăt.
Piața de desfacere xDedic pare să se fi deschis undeva în 2014, iar popularitatea i-a crescut semnificativ, pe la mijlocul anului 2015. În mai 2016, avea la vânzare 70.624 de servere din 173 de țări, afișate în numele a 416 vânzători diferiți. Topul primelor 10 țări afectate include Brazilia, China, Rusia, India, Spania, Italia, Franța, Australia, Africa de Sud și Malaysia. Gruparea din spatele xDedid pare să fie vorbitoare de limbă rusă și pretinde că oferă doar o platformă de desfacere și nu are legături cu vânzătorii.
“XDedid este o confirmare în plus că serviciile de infracționalitate cibernetică se extind, înglobând platforme de desfacere și sisteme comerciale. Existența sa face mai ușor ca oricând pentru oricine, de la atacatori cu abilități minimale, la grupări APT susținute la nivel statal, să se implice în atacuri devastatoare, într-o modalitate care nu implică mari costuri, este rapidă și eficientă. Victimele nu sunt doar consumatorii și organizațiile vizate într-un atac, ci și proprietarii care nu bănuiesc nimic: este foarte probabil ca ei să nu știe că serverele le-au fost atacate de mai multe ori, în diverse moduri, toate acestea întâmplându-se sub ochii lor”, a declarat Costin Raiu, Director GReAT (Global Research and Analysis Team), Kaspersky Lab.
Kaspersky Lab le recomandă organizațiilor:
- Să Instaleze o soluție complexă de securitate și să aibă o abordare comprehensivă, multi-stratificată asupra securității infrastructurii IT
- Să impună folosirea unor parole complexe pentru procesul de autenficare
- Să implementeze un proces continuu de management al “patch-urilor”
- Să efectueze cu regularitate un audit de securitate pentru infrastructura IT
- Să ia în calcul varianta de a investi în servicii de informații despe amenințări, pentru ca organizația să fie la curent cu evoluția amenințărilor și cu perspectiva infractorilor, astfel încât să poată evalua nivelul de risc.