נחשף שוק שחור עצום המוכר למעלה מ- 70,000 שרתים פרוצים
במסגרת השרתים נמצאו גם 1069 שפועלים בישראל. הפושעים מוכרים את השרתים במחיר התחלה של 6 דולר ליחידה
חוקרי מעבדת קספרסקי חשפו פורום גלובלי בו עברייני סייבר יכולים לרכוש ולמכור גישה לשרתים שנפרצו במחיר המתחיל ב- 6 דולר ליחידה. בשוק xDedic , שנראה כי מופעל על ידי קבוצת דוברת רוסית, רשומים כרגע למכירה 70,625 שרתי Remote Desktop Protocol .רבים מהשרתים מארחים או מספקים גישה לאתרי צרכנות ושירותים פופולאריים ובחלקם מתוקנות תוכנות לדיוור, חשבונות פיננסים ועיבוד נקודות מכירה (PoS) . הם יכולים לשמש כדי לפגוע בתשתית הבעלים או כדי לשמש כבסיס להתקפות נרחבות יותר, בעוד לבעלי השרתים, בהם רשויות ממשלתיות, תאגידים ואוניברסיטאות, כמעט אין מושג מה מתרחש.
xDedic הוא דוגמה עוצמתית לסוג חדש של שוק עבריינות סייבר: מאורגן ונתמך היטב, ופונה לכולם, החל מעברייני סייבר מתחילים ועד לקבוצות APT . השוק מציע גישה זולה ומהירה לתשתיות של ארגונים לגיטימיים המאפשרות לשמור את הפעילות העבריינית מתחת למכ"ם זמן רב ככל שניתן.
ספק שירותי אינטרנט אירופאי התריע בפני מעבדת האבטחה על קיומו של xDedic, ' והחברות עבדו יחדיו כדי לחקור כיצד הפורום פועל. התהליך הוא פשוט וממצה: האקרים פורצים לשרתים, לעיתים קרובות באמצעות פריצת כח (brute-force), ומעבירים את ההרשאות ל- xDedic. לאחר מכן, נבדקים השרתים לגבי תצורת ה- RDP, הזיכרון, התוכנה, היסטוריית הגלישה שלהם ועוד – כל המאפיינים שרוכש ירצה לדעת לפני רכישה. לאחר מכן, הם מתווספים לרשימת מכירה מקוונת הכוללת גישה ל:
- כל התכנים הכי מעניינים - בעמוד הפייסבוק שלנו
שרתים השייכים לרשתות ממשלתיות, תאגידים ואוניברסיטאות.
שרתים המתויגים כבעלי גישה או אשר מארחים אתרים או שירותים מסוימים, כולל הימורים, גיימינג, שידוכים, קניות מקוונות, בנקאות מקוונת ותשלומים, רשתות סלולר, ISP ודפדפנים.
שרתים עם תוכנה מותקנת מראש אשר יכולה להקל על התקפה, כולל תוכנות דיוור, פיננסים או נקודות מכירה.
כולם נתמכים במגוון של כלי פריצה ומערכות מידע.
במחיר התחלתי נמוך, של 6 דולר לשרת, חברים בפורום xDedic יכולים לגשת לכל נתוני השרת, וגם להשתמש בו כפלטפורמה להתקפות זדוניות נוספות. הדבר יכול לכלול התקפות ממוקדות, קוד זדוני, DDoS, פישינג, הנדסה חברתית והתקפות כלי פרסום, לצד התקפות נוספות.
הבעלים החוקיים של השרתים - ארגונים בעלי מוניטין, כולל רשתות ממשלתיות, תאגידים ואוניברסיטאות - לעיתים אינם מודעים כלל כי תשתית ה- IT שלהם נפרצה. יותר מכך, ברגע שהושלם קמפיין, התוקפים יכולים להעמיד את הגישה לשרת למכירה נוספת, וכל התהליך מתחיל מחדש.
שוק xDedic נפתח כנראה לעסקים במהלך 2014, וגדל משמעותית בפופולאריות שלו מאז אמצע 2015. במאי 2016, היו רשומים בו 70,624 שרתים מ- 173 מדינות, אשר פורסמו תחת שמות של 416 מוכרים שונים. 10 המדינות המרכזיות שהושפעו הן ברזיל, סין, רוסיה, הודו, ספרד, איטליה, צרפת, אוסטרליה, דרום אפריקה ומלזיה. במאי 2016 היו רשומים בו 1069 שרתים בישראל לעומת 889 שרתים בחודש מרץ.
נראה כי הקבוצה מאחורי xDedic דוברת רוסית, ולטענתה היא בסך הכל מספקת פלטפורמת סחר ואין לה קשר למוכרים."xDedic היא חיזוק נוסף לכך ש"עבריינות-סייבר-כשירות" מתרחבת באמצעות הוספת זירות מסחר ופלטפורמת סחר. קיומו של השוק מקל על כולם, החל מתוקפים זדוניים עם יכולות נמוכות ועד לקבוצות APT בגיבוי מדינה, להשתלב בהתקפות הרסניות בדרך זולה, מהירה ויעילה. הקורבנות הסופיים אינם רק הצרכנים או ארגונים העומדים בפני התקפה, אלא גם בעלים השרתים. סביר להניח שהם אינם מודעים כלל לכך שהשרתים שלהם נחטפים פעם אחר פעם למשימות התקפה שונות, שכולן נערכות ממש מתחת לאפם", אמר קוסטין ראיו, מנהל צוות מחקר וניתוח גלובלי, במעבדת האבטחה.
אקו"ם