محققان لابراتوار کسپرسکی میگویند که ۷۰۰۰ سرور در فروم xDedic قربانی حملات سایبری شدهاند و این هک توسط یک گروه هکر روسیزبان بودهاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مجرمان و مهاجمان سایبری در دو سال گذشته به نوع جدیدی از بازار زیرزمینی پرداختند که به xDedic معروف است. در این پلتفرم، مجرمان سایبری میتوانند تعداد زیادی سرور هکشده را از سراسر دنیا خریداری کنند.
براساس این گزارش از شبکههای دولتی گرفته تا سازمانی، هرگونه سروری در xDedic قابل دستیابی است و میانگین قیمتها هم تنها ۶ دلار برای هر سرور است. به این معنی که با پرداخت این مبلغ، خریدار میتواند به تمام اطلاعات روی سرور دست یافته و حتی ممکن است بتواند حملات مجددی نیز انجام دهد.
محققان لابراتوار کسپرسکی میگویند که ۷۰۰۰ سرور در فروم xDedic قربانی حملات سایبری شدهاند و این هک توسط یک گروه هکر روسیزبان بودهاست.
اعضای سازنده فروم سرور چندین کاربر را با ابزار ریموت پشتیبانی میکند. همچنین ابزارهای هک proxy installers و sysinfo collectors نیز توسط محققان کسپرسکی گزارش شدهاست. هدف اصلی فروم xDedic خریدوفروش سرورهای هکشدهای است که از طریق ریموت در دسترس هستند.
محققان در مورد xDedic با همکاری یک ISP اروپایی به بررسی قربانیان پرداختند. این گزارش نشانمیدهد که در ماه مه ۲۰۱۶، تعداد ۷۰ هزار و 624 سرور از ۱۷۳ کشور جهان در معرض فروش گذاشته شدهبود. محققان گفتند میزان ۴۱۶ فروش در ماه مه و کمتر از ۴۲۵ مورد در ماه آوریل رخ داده است. این در حالی است که بالای ۵۱هزار سرور از ۱۸۳ کشور جهان برای فروش روی این پلتفرم قرار داده شدهبود. این آمار نشانمیدهد که بر روی این فروم مدیریت مستقیم وجود داشتهاست.
هنگامی که کاربران برای استفاده از فروم xDedic ثبتنام میکنند آنها میتوانند برای دیدن لیستی از سرورهای در دسترس از داشبورد استفادهکنند. در این فروم برای هر سرور هکشده، لیستی از اطلاعات سیستم، دسترسیهای مدیریتی، Run بودن آنتیویروس بر روی سیستم، مرورگر، اطلاعات آپتایم، سرعت آپلود و دانلود قابلدسترس است. ۳۲ درصد از سرورهای هکشده در ماه مه و در کشورهای برزیل، چین، روسیه، هند و اسپانیا بود.
دسترسی از طریق ریموت دسکتاپ این امکان را به خریداران میدهد که بتوانند بهصورت ریموت به سیستمهای در معرض خطر دسترسی داشتهباشند و همچنین بتوانند بهطور فزایندهای به سرورهای در دسترس، مانند؛ سرویسهای سازمانهای مالی، سیستمهای شرطبندی، فروشگاههای اینترنتی، سایتهای دوستیابی، شبکههای تبلیغاتی و غیره حملهکنند.
در بعضی موارد خریداران بهدنبال میزبانی سرور برخی از نرمافزارهای خاص مثل حسابداری، گزارشهای مالیاتی و نرمافزارهای فروش بودند و علاوه بر اینها در پی نرمافزار ایمیل برای استفاده اسپم بودند. نرمافزار point of sales (نرمافزار فروش) از جمله نرمافزارهای محبوبی بود که محققان کسپرسکی اشارهکردند این نرمافزار در ۴۵۳ سرور از ۶۷ کشور در دسترس قرار گرفتهاست.
محققان کشفکردند که هریک از پارتنرها همچنان دسترسی جداگانه خود را به پورتال و ابزار آنها دارند. همچنین محققان اعلام کردند این پارتنرها با استفاده از یکی از ابزارهای اعتبارسنجی که SysScan نام دارد برای دسترسی به سرورهایی که در این فرومها فروخته شدهاست استفادهمیکنند، آنها همچنین میگویند این ابزار اطلاعات سیستمی مانند سرعت دانلود و آپلود و همچنین نرمافزارهای نصبشده روی سرور را گزارش میدهد.
محققان گزارش کردند در دستگاهی که در آن SysScan پیدا شدهبود ابزاری (DUBrute and XPC ) را یافتند که با استفاده از روش 1 Brute Force برای رسیدن به اطلاعات سرور استفاده میکردند. با استفاده از اطلاعات تروجان SCClient، کسپرسکی برای این بدافزار تلهگذاریکرد تا سرورهای هکشده با بدافزار مشابه را شناساییکند. لابراتوار کسپرسکی گفت در عرض ۱۲ساعت نخست ۳۶۰۰ آیپی آدرس به آنها متصل شدند که سازمانهای دولتی و دانشگاهها نیز جزء این آمار بودند و کسپرسکی مشتریان خود را از وجود این بدافزار آگاه کردهاست.
همچنین یک ابزار دیگر روی دستگاههای به خطر افتاده پیدا شد که پورتهای مشخصی را روی سرورها باز میکند و آنها را به SOCKSهای غیرمجاز یا پروکسیهای HTTPS تبدیل میکند. محققان گفتند، xDedic ریموت دسکتاپ مخصوص خود را ساخته که مشتریان مجبورند اطلاعات لاگین را در این ریموت دسکتاپ کپیکنند.
کسپرسکی در گزارش خود حدس میزند تنوع و قیمت پایین سرورهای موجود فقط در خدمت مجرمان نبوده بلکه باندهای ۲ATP هم از آن بهخوبی سود بردهاند.
طبق این گزارش تعداد زیادی از سرورهایی که در بازار زیرزمینی xDedic برای فروش گذاشته شده، جایگزین بسیار مناسب و ارزانی برای گردانندگان ATP هایی است که نمیخواهند ردی از خود باقی بگذارند. ۸ دلار برای هدفی با منظور دسترسی به تمام اطلاعات پروفایل، قیمت ناچیز و ارزانی است. موضوعی که معمولاً نادیده گرفتهمیشود این است که سرورهای هکشده به روش brute-force، فرصت مناسبی را برای گردانندگان ATP ها فراهم میکنند تا بدون اینکه سوءظنی متوجه آنها شود کار خود را انجامدهند.
مرجع: کسپرسکی آنلاین