Kaspersky Lab razkrili obsežen črni trg podatkov za dostop do zlorabljenih strežnikov

20.06.2016
Objavil: Dare Gliha

Raziskovalci Kaspersky Laba so preučili globalni spletni forum, kjer lahko kibernetski kriminalci kupujejo in prodajo dostop do strežnikov že za okoli 5 evrov. Spletna tržnica xDedic, ki naj bi jo upravljala rusko govoreča skupina, je maja 2016 na prodaj ponujala podatke za dostop do 70.624 strežnikov (Remote Desktop Protocol).

Številni strežniki vsebujejo ali omogočajo dostop do priljubljenih spletnih strani in storitev za uporabnike, nekateri pa imajo nameščeno programsko opremo za direktno pošto, računovodske storitve in obdelavo transakcij na prodajnem mestu. Strežniki se lahko uporabljajo za napad na infrastrukturo informacijske tehnologije ali kot platforma za obsežnejše napade. Pri tem seveda lastniki strežnikov, vključno z vladnimi organizacijami, podjetji in univerzami, le malo ali pa sploh ne vedo, kaj se dogaja.

Forum xDedic je močan dokaz nove oblike trgovanja na področju kibernetskega kriminala. Dobro organiziran in podprt forum neizkušenim kibernetskim kriminalcem, pa tudi skupinam s področja naprednih trajnih groženj (ang. advanced persistent threats ali ATP), ponuja hiter, poceni in preprost dostop do uradne infrastrukture informacijske tehnolocije, s katero lahko čim dlje prikrivajo svoje kriminalne aktivnosti.

Na obstoj foruma xDedic je Kaspersky Lab opozoril evropski ponudnik internetnih storitev. Podjetji sta nato skupaj preiskali, kako forum deluje. Postopek je preprost in natančen: hekerji vdrejo v strežnike, pri čemer se pogosto poslužujejo grobih napadov (angl. brute force attack). Nato na forumu xDedic ponudijo podatke za dostop do strežnikov. Na strežnikih, v katere so vdrli, med drugim preverijo nastavitve protokola za oddaljeno namizje, spomin, programsko opremo, zgodovino brskanja – vse značilnosti, ki jih kupci lahko preiščejo pred nakupom. Strežniki so del naraščajoče ponudbe, ki zajema še obsežen nabor orodij za vdore in sistemska informacijska orodja. Ponudba foruma tako vključuje:

• strežnike, ki pripadajo vladnim omrežjem, podjetjem in univerzam;
• strežnike, ki omogočajo dostop ali na katerih gostujejo določene spletne strani ali storitve, denimo portali za igranje iger, stavnice, portali za zmenke, portali za spletno nakupovanje in spletno bančništvo ter plačila, pa tudi omrežja mobilne telefonije, strani ponudnikov internetnih storitev in brskalnikov;
• strežnike s prednameščeno programsko opremo, ki lahko olajšajo nadaljnje napade, vključno z direktno pošto, finančno programsko opremo in programsko opremo za prodajna mesta (POS).

Že za okoli 5 evrov za strežnik lahko člani foruma xDedic dostopajo do vseh podatkov o strežniku in ga celo uporabijo kot platformo za nadaljnje napade. To lahko med drugim potencialno pomeni usmerjene napade, zlonamerno programsko opremo, napade s porazdeljeno ohromitvijo storitve (DDoS), ribarjenje, socialni inženiring in oglaševalsko programje.

Uradni lastniki strežnikov, ugledne organizacije, vključno z vladnimi institucijami, podjetji in univerzami, se pogosto ne zavedajo vdora v njihovo infrastrukturo informacijske tehnologijo. Po zaključku napada lahko napadalci na prodaj ponovno ponudijo dostop do strežnika in tako se proces trgovanja znova začne.

Forum xDedic je, kot kaže, pričel delovati v 2014 in zrastel po pomembnosti in priljubljenosti do sredine 2015. Maja 2016 je bilo na forumu na prodaj ponujenih 70.624 strežnikov iz 173 držav, ki so bili objavljeni v imenu 416 različnih prodajalcev. Med deset najbolj prizadetimi državami so: Brazilija, Kitajska, Rusija, Indija, Španija, Italija, Francija, Avstralija, Južna Afrika in Malezija. V ozadju foruma xDedic naj bi bila rusko govoreča skupina, ki pojasnjuje, da le ponuja platformo za trgovanje in nima nikakršnih povezave s prodajalci.

»Forum xDedic je vnovična potrditev, da se kibernetski kriminal kot storitev širi po različnih poslovnih ekosistemih in platformah za trgovanje. Njegov obstoj omogoča še lažje delovanje tako neizkušenih zlonamernih napadalcev kot s strani države podprtih skupin, ki izvajajo napredne trajne grožnje, kar lahko privede do potencialno uničujočih napadov na poceni, hiter in učinkovit način. Končne žrtve niso le uporabniki ali napadene organizacije, temveč tudi nič hudega sluteči lastniki strežnikov: ti se zelo verjetno sploh ne zavedajo, da so bili strežniki tik pred njihovi nosom vedno znova in znova uporabljeni za različne napade,« pojasnjuje Costin Raiu, direktor skupine za globalne raziskave in analize pri Kaspersky Labu.

Kaspersky Lab organizacijam svetuje:

• namestitev močne varnostne rešitve kot del celostnega, večplastnega pristopa k zagotavljanju varnosti infrastrukture informacijske tehnologije,
• izvajanje kontinuiranega procesa krpanja varnostnih lukenj,
• redno izvajanje varnostnega ocenjevanja infrastrukture informacijske tehnologije,
• razmislek o vlaganju v obveščevalne storitve o grožnjah, ki bodo zagotovile obveščenost organizacije o nastajajočih grožnjah in ponudile vpogled v možnosti za napad in tako pomoč pri oceni tveganja organizacije.

Podrobnosti o forumu xDedic so na voljo na spletni strani Securelist.com.