(Zlorabljeni) strežniki naprodaj po 5 evrov
2 min read
Varnostni strokovnjaki so dosegli novo pomembno zmago. Na spletni tržnici xDedic so hekerji od maja letos prodajali podatke za oddaljen dostop do 70.624 strežnikov. Številni med njimi vsebujejo ali omogočajo dostop do priljubljenih spletnih strani in storitev za uporabnike, nekateri pa imajo nameščeno programsko opremo za direktno pošto, računovodske storitve in obdelavo transakcij na prodajnem mestu. Te strežnike nato nepridipravi lahko uporabijo za napad na infrastrukturo informacijske tehnologije ali kot platforma za obsežnejše napade. Pri tem seveda lastniki strežnikov, vključno z vladnimi organizacijami, podjetji in univerzami, le malo ali pa sploh ne vedo, kaj se dejansko dogaja.
Forum xDedic je močan dokaz nove oblike trgovanja na področju kibernetskega kriminala. Dobro organiziran in podprt forum neizkušenim kibernetskim kriminalcem, pa tudi skupinam s področja naprednih trajnih groženj (ang. advanced persistent threats ali ATP), ponuja hiter, poceni in preprost dostop do uradne infrastrukture informacijske tehnolocije, s katero lahko čim dlje prikrivajo svoje kriminalne aktivnosti.
Na obstoj foruma xDedic je Kaspersky Lab opozoril evropski ponudnik internetnih storitev. Podjetji sta nato skupaj preiskali, kako forum deluje. Postopek je preprost in natančen: hekerji vdrejo v strežnike, pri čemer se pogosto poslužujejo grobih napadov (angl. brute force attack). Nato na forumu xDedic ponudijo podatke za dostop do strežnikov. Na strežnikih, v katere so vdrli, med drugim preverijo nastavitve protokola za oddaljeno namizje, spomin, programsko opremo, zgodovino brskanja – vse značilnosti, ki jih kupci lahko preiščejo pred nakupom.
Že za okoli 5 evrov za strežnik lahko člani foruma xDedic dostopajo do vseh podatkov o strežniku in ga celo uporabijo kot platformo za nadaljnje napade. To lahko med drugim potencialno pomeni usmerjene napade, zlonamerno programsko opremo, napade s porazdeljeno ohromitvijo storitve (DDoS), ribarjenje, socialni inženiring in oglaševalsko programje.
Uradni lastniki strežnikov, ugledne organizacije, vključno z vladnimi institucijami, podjetji in univerzami, se pogosto ne zavedajo vdora v njihovo infrastrukturo informacijske tehnologijo. Po zaključku napada lahko napadalci na prodaj ponovno ponudijo dostop do strežnika in tako se proces trgovanja znova začne.
Forum xDedic je, kot kaže, pričel delovati v 2014 in zrastel po pomembnosti in priljubljenosti do sredine 2015. Maja 2016 je bilo na forumu na prodaj ponujenih 70.624 strežnikov iz 173 držav, ki so bili objavljeni v imenu 416 različnih prodajalcev. Med deset najbolj prizadetimi državami so: Brazilija, Kitajska, Rusija, Indija, Španija, Italija, Francija, Avstralija, Južna Afrika in Malezija. V ozadju foruma xDedic naj bi bila rusko govoreča skupina, ki pojasnjuje, da le ponuja platformo za trgovanje in nima nikakršnih povezave s prodajalci.
