جمعه ۱۰ فروردين ۱۴۰۳ , 29 Mar 2024
جالب است ۰
محققان لابراتوار کسپرسکی می‌گویند که ۷۰۰۰ سرور در فروم xDedic قربانی حملات سایبری شده‌اند و این هک توسط یک گروه هکر روسی‌زبان بوده‌است.

محققان لابراتوار کسپرسکی می‌گویند که ۷۰۰۰ سرور در فروم xDedic قربانی حملات سایبری شده‌اند و این هک توسط یک گروه هکر روسی‌زبان بوده‌است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مجرمان و مهاجمان سایبری در دو سال گذشته به نوع جدیدی از بازار زیرزمینی پرداختند که به xDedic معروف است. در این پلتفرم، مجرمان سایبری می‌توانند تعداد زیادی سرور هک‌شده را از سراسر دنیا خریداری کنند.
 
براساس این گزارش از شبکه‌های دولتی گرفته تا سازمانی، هر‌گونه سروری در xDedic قابل دست‌یابی است و میانگین قیمت‌ها هم تنها ۶ دلار برای هر سرور است. به این معنی که با پرداخت این مبلغ، خریدار می‌تواند به تمام اطلاعات روی سرور دست یافته و حتی ممکن است بتواند حملات مجددی نیز انجام دهد.
 
محققان لابراتوار کسپرسکی می‌گویند که ۷۰۰۰ سرور در فروم xDedic قربانی حملات سایبری شده‌اند و این هک توسط یک گروه هکر روسی‌زبان بوده‌است. 

اعضای سازنده فروم  سرور چندین کاربر را با ابزار ریموت پشتیبانی می‌کند. همچنین ابزار‌های هک proxy installers و sysinfo collectors نیز توسط محققان کسپرسکی گزارش شده‌است. هدف اصلی فروم xDedic خرید‌و‌فروش سرورهای هک‌شده‌ای است که از طریق ریموت در دسترس هستند. 

محققان در مورد xDedic با همکاری یک ISP اروپایی به بررسی قربانیان پرداختند.  این گزارش نشان‌می‌دهد که در ماه مه ۲۰۱۶، تعداد ۷۰ هزار و 624 سرور از ۱۷۳ کشور جهان در معرض فروش گذاشته شده‌بود. محققان گفتند میزان ۴۱۶ فروش در ماه مه و کمتر از ۴۲۵ مورد در ماه آوریل رخ داده است. این در حالی است که بالای ۵۱هزار سرور از ۱۸۳ کشور جهان برای فروش روی این پلتفرم قرار داده شد‌ه‌بود. این آمار نشان‌می‌دهد که بر روی این فروم مدیریت مستقیم وجود داشته‌است. 

هنگامی که کاربران برای استفاده از فروم xDedic ثبت‌نام می‌کنند آنها می‌توانند برای دیدن لیستی از سرور‌های در دسترس از داشبورد استفاده‌کنند. در این فروم برای هر سرور هک‌شده، لیستی از اطلاعات سیستم، دسترسی‌های مدیریتی، Run بودن آنتی‌ویروس بر روی سیستم، مرورگر، اطلاعات آپ‌تایم، سرعت آپلود و دانلود قابل‌دسترس است. ۳۲ درصد از سرور‌های هک‌شده در ماه مه و در کشورهای برزیل، چین، روسیه، هند و اسپانیا بود. 

دسترسی از طریق ریموت دسکتاپ این امکان را به خریداران می‌دهد که بتوانند به‌صورت ریموت به سیستم‌های در معرض خطر دسترسی داشته‌باشند و همچنین بتوانند به‌طور فزاینده‌ای به سرورهای در دسترس، مانند؛ سرویس‌های سازمان‌های مالی، سیستم‌های شرط‌بندی، فروشگاه‌های اینترنتی، سایت‌های دوست‌یابی، شبکه‌های تبلیغاتی و غیره حمله‌کنند. 

در بعضی موارد خریداران به‌دنبال میزبانی سرور برخی از نرم‌افزار‌های خاص مثل حسابداری، گزارش‌های مالیاتی و نرم‌افزار‌های فروش بودند و علاوه بر این‌ها در پی نرم‌افزار ایمیل برای استفاده اسپم بودند. نرم‌افزار point of sales (نرم‌افزار فروش) از جمله نرم‌افزارهای محبوبی بود که محققان کسپرسکی اشاره‌کردند این نرم‌افزار در ۴۵۳ سرور از ۶۷ کشور در دسترس قرار گرفته‌است. 

محققان کشف‌کردند که هریک از پارتنرها همچنان دسترسی جداگانه خود را به پورتال و ابزار آ‌نها دارند. همچنین محققان اعلام کردند این پارتنرها با استفاده از یکی از ابزارهای اعتبارسنجی که SysScan نام دارد برای دسترسی به سرورهایی که در این فروم‌ها فروخته شده‌است استفاده‌می‌کنند، آنها همچنین می‌گویند این ابزار اطلاعات سیستمی مانند سرعت دانلود و آپلود و همچنین نرم‌افزارهای نصب‌شده روی سرور را گزارش می‌دهد.
 
محققان گزارش کردند در دستگاهی که در آن SysScan پیدا شده‌بود ابزاری (DUBrute and XPC ) را یافتند که با استفاده از روش 1 Brute Force برای رسیدن به اطلاعات سرور استفاده می‌کردند. با استفاده از اطلاعات تروجان SCClient، کسپرسکی برای این بدافزار تله‌گذاری‌کرد تا سرورهای هک‌شده با بدافزار مشابه را شناسایی‌کند. لابراتوار کسپرسکی گفت در عرض ۱۲ساعت نخست ۳۶۰۰ آی‌پی آدرس به آنها متصل شدند که سازمان‌های دولتی و دانشگاه‌ها نیز جزء این آمار بودند و کسپرسکی مشتریان خود را از وجود این بدافزار آگاه کرد‌ه‌است. 

همچنین یک ابزار دیگر روی دستگاه‌های به خطر افتاده پیدا شد که پورت‌های مشخصی را روی سرورها باز می‌کند و آنها را به SOCKSهای غیرمجاز یا پروکسی‌های HTTPS تبدیل می‌کند. محققان گفتند، xDedic ریموت دسکتاپ مخصوص خود را ساخته که مشتریان مجبورند اطلاعات لاگین را در این ریموت دسکتاپ کپی‌کنند. 

کسپرسکی در گزارش خود حدس می‌زند تنوع و قیمت پایین سرور‌های موجود فقط در خدمت مجرمان نبوده بلکه باندهای ۲ATP هم از آن به‌خوبی سود برده‌اند. 

طبق این گزارش تعداد زیادی از سرورهایی که در بازار زیرزمینی xDedic برای فروش گذاشته شده، جایگزین بسیار مناسب و ارزانی برای گردانندگان ATP هایی‌ است که نمی‌خواهند ردی از خود باقی بگذارند. ۸ دلار برای هدفی با منظور دسترسی به تمام اطلاعات پروفایل، قیمت ناچیز و ارزانی است. موضوعی که معمولاً نادیده گرفته‌می‌شود این است که سرورهای هک‌شده به روش brute-force، فرصت مناسبی را برای گردانندگان ATP ها فراهم می‌کنند تا بدون اینکه سوء‌ظنی متوجه آنها شود کار خود را انجام‌دهند. 

مرجع: کسپرسکی آنلاین

کد مطلب : 11338
https://aftana.ir/vdcfcmdy.w6dymagiiw.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی