ايتنا - حراج اطلاعات ۷۰۰۰ سرور هک‌شده در یک بازار زیرزمینی

مجرمان و مهاجمان سایبری در دو سال گذشته به نوع جدیدی از بازار زیرزمینی پرداختند که به xDedic معروف است، در این پلتفرم، مجرمان سایبری می‌توانند تعداد زیادی سرور هک‌شده از سراسر دنیا را خریداری کنند.

براساس این گزارش ایتنا از شبکه‌های دولتی گرفته تا سازمانی، هرگونه سروری در xDedic قابل دست‌یابی است و میانگین قیمت‌ها هم تنها ۶ دلار برای هر سرور است. به این معنی که با پرداخت این مبلغ، خریدار می تواند به تمام اطلاعات روی سرور دست یافته و حتی ممکن است بتواند حملات مجددی نیز انجام دهد.

محققان در لابراتوار کسپرسکی در مورد فروم xDedic مقاله‌ای منتشر ساخته‌اند که ۷۰۰۰ سرور در آن قربانی حملات سایبری شده‌اند که این هک توسط یک گروه هکر روسی زبان بوده است.

اعضای سازنده فروم با ابزار ریموت سرور چندین یوزر را پشتیبانی می‌کند و همچنین دیگر ابزارهای هک proxy installers و sysinfo collectorsمی باشد که توسط محققان کسپرسکی گزارش شده است. هدف اصلی فروم xDedic خرید و فروش سرورهای هک‌شده ای است که از طریق ریموت در دسترس هستند.

محققان در مورد xDedic با همکاری یک ISP اروپایی به بررسی قربانیان پرداختند. بر اساس این گزارش در ماه مه ۲۰۱۶، نشان می‌دهد ۷۰,۶۲۴ سرور از ۱۷۳ کشور جهان برای فروش گذاشته شده بود. محققان گفتند میزان ۴۱۶ فروش در ماه مه و کمتر از ۴۲۵ در ماه آپریل رخ داده است. این در حالی است که بالای ۵۱۰۰۰ سرور از ۱۸۳ کشور جهان برای فروش روی این پلتفرم قرار داده شده بود. این آمار نشان می‌دهد که بر روی این فروم مدیریت مستقیم وجود داشته است.

هنگامی که کاربران برای استفاده از فروم xDedic ثبت نام می‌کنند آن‌ها می‌توانند برای دیدن لیستی از سرورهای در دسترس از داشبورد استفاده کنند. در این فروم برای هر سرور هک‌شده، لیستی از اطلاعات سیستم، دسترسی‌های مدیریتی، ران بودن آنتی‌ویروس بر روی سیستم، بروزر، اطلاعات آپ‌تایم، سرعت آپلود و دانلود قابل دسترس است. ۳۲ درصد از سرور های هک‌شده در ماه مه و در کشورهای برزیل، چین، روسیه، هند و اسپانیا بود.

دسترسی از طریق ریموت دسکتاپ این امکان را به خریداران می دهد که بتوانند بصورت ریموت به سیستم‌های در معرض خطر دسترسی داشته باشند و همچنین بتوانند بطور فزاینده‌ای به سرورهای در دسترس، مانند؛ سرویس‌های سازمان‌های مالی، سیستم‌های شرط‌بندی، فروشگاه‌های اینترنتی، سایت‌های دوست‌یابی، شبکه‌های تبلیغاتی و غیره حمله کنند.

در بعضی موارد خریداران به دنبال میزبانی سرور برخی از نرم‌افزار های خاص مثل حسابداری، گزارش‌های مالیاتی و نرم‌افزار های فروش بودند و علاوه بر این‌ها در پی نرم‌افزار ایمیل برای استفاده اسپم بودند. نرم‌افزار point of sales (نرم‌افزار فروش) از جمله نرم‌افزارهای محبوبی بود که محققان کسپرسکی اشاره کردند این نرم‌افزار در ۴۵۳ سرور از ۶۷ کشور در دسترس قرار گرفته است.

محققان کشف کردند که هریک از پارتنرها به پرتال و ابزار آن‌ها دسترسی جداگانه خود را همچنان دارند. همچنین محققان اعلام کردند این پارتنرها با استفاده از یکی از‌ابزارهای اعتبارسنجی که SysScan نام دارد برای دسترسی به سرورهایی که در این فروم‌ها فروخته شده است استفاده می‌کنند، آن‌ها همچنین می‌گویند این ابزار اطلاعات سیستمی مانند سرعت دانلود و آپلود و همچنین نرم‌افزارهای نصب‌شده روی سرور را گزارش می‌دهد.

در یک دستگاهی که در آن SysScan پیدا شده بود محققان گزارش کردند آن‌ها ابزاری (DUBrute and XPC ) را یافتند که با استفاده از روش ۱ Brute Forceبرای رسیدن به اطلاعات سرور استفاده می‌کردند. با استفاده از اطلاعات تروجان SCClient، کسپرسکی برای این بدافزار تله‌گذاری کرد تا سرورهای هک‌شده با بدافزار مشابه را شناسایی کند. لابراتوار کسپرسکی گفت در عرض ۱۲ ساعت نخست ۳۶۰۰ آی.پی آدرس به آن‌ها متصل شدند که سازمان‌های دولتی و دانشگاه‌ها هم جزء این آمار بودند و کسپرسکی مشتریان خود را از وجود این بدافزار آگاه کرده است.

همچنین یک ابزار دیگر روی دستگاه‌های به خطر افتاده پیدا شد که پورت‌های مشخصی را روی سرورها باز می‌کند و آن‌ها را به SOCKSهای غیرمجاز یا پروکسی‌های HTTPS تبدیل می‌کند. محققان گفتند، xDedic ریموت دسکتاپ مخصوص خود را ساخته که مشتریان مجبورند اطلاعات لاگین را در این ریموت دسکتاپ کپی کنند.

کسپرسکی در گزارش خود حدس می‌زند تنوع و قیمت پایین سرور های موجود فقط در خدمت مجرمان نبوده بلکه باندهای ۲ATP هم از آن به خوبی سود برده‌اند.

این گزارش می‌گوید؛ تعداد زیادی از سرورهایی که در بازار زیرزمینی xDedic برای فروش گذاشته‌شده، جایگزین بسیار مناسب و ارزانی برای گردانندگان ATP هاییست که نمی‌خواهند ردی از خود باقی بگذارند. ۸ دلار، برای هدفی با منظور دسترسی به تمام اطلاعات پروفایل، قیمت ناچیز و ارزانی است. موضوعی که معمولاً نادیده گرفته می‌شود این است که؛ سرورهایی که با روش brute-force هک می شوند فرصت مناسبی را برای گردانندگان ATP ها فراهم می‌کنند تا بدون اینکه سوءظنی متوجه آن‌ها شود کار خود را انجام دهند.

۱. Brute Force (بروت فورس) یکی از انواع حملات هکرها برای بدست آوردن رمزهای عبور است. در این روش هکر با استفاده از نرم‌افزارهای مخصوص سعی می‌کند تمام عبارت‌های ممکن را بررسی کند.

۲. تهدید پیشرفته مستمر (Advanced persistent threat) منظور زیرمجموعه‌ای از تهدیدهاست که در یک الگوی دراز مدت حملات نفوذی پیچیده علیه دولت‌ها، شرکت‌ها و فعالان سیاسی استفاده می‌شود. این اصطلاح به گروهی که پشت این حملات است نیز اشاره می‌کند.

منبع: کسپرسکی‌آنلاین