נחשף שוק שחור עצום המוכר 70,624 שרתים פרוצים, בהם 1,069 שרתים בישראל
מאת:
מערכת Telecom News, 15.6.16, 14.49
קיומו של השוק השחור הוא חיזוק נוסף לכך, ש'עבריינות-סייבר-כשירות' מתרחבת באמצעות הוספת זירות מסחר ופלטפורמות סחר.
חוקרי מעבדת קספרסקי חשפו פורום גלובלי בו עברייני סייבר יכולים לרכוש ולמכור גישה לשרתים שנפרצו במחיר המתחיל ב-6 דולרים ליחידה. בשוק
xDedic, שנראה, שמופעל ע"י קבוצה דוברת רוסית, רשומים כרגע למכירה 70,624 שרתי
Remote Desktop Protocol.
רבים מהשרתים מארחים או מספקים גישה לאתרי צרכנות ושירותים פופולריים ובחלקם מתוקנות תוכנות לדיוור, חשבונות פיננסים ועיבוד נקודות מכירה (
PoS). הם יכולים לשמש כדי לפגוע בתשתית הבעלים או כדי לשמש כבסיס להתקפות נרחבות יותר, בעוד לבעלי השרתים, בהם רשויות ממשלתיות, תאגידים ואוניברסיטאות, כמעט אין מושג מה מתרחש.
xDedic הוא דוגמה עוצמתית לסוג חדש של שוק עבריינות סייבר: מאורגן ונתמך היטב, ופונה לכולם, החל מעברייני סייבר מתחילים ועד לקבוצות
APT. השוק מציע גישה זולה ומהירה לתשתיות של ארגונים לגיטימיים, שמאפשרות לשמור את הפעילות העבריינית מתחת למכ"ם זמן רב ככל שניתן. מפתחי xDedic עצמם לא מוכרים דבר, אלא יצרו Marketplace עם תמיכה טכנית וכלים מתקדמים בו גופים שונים יכולים לסחור.
10 מוכרים עיקריים בxDedic למאי 2016:
ספק שירותי אינטרנט אירופאי התריע בפני החברה על קיומו של
xDedic, והחברות עבדו יחדיו כדי לחקור כיצד הפורום פועל. התהליך הוא פשוט וממצה: האקרים פורצים לשרתים, לעיתים קרובות באמצעות פריצת כח (
brute-force), ומעבירים את ההרשאות ל-
xDedic. לאחר מכן, נבדקים השרתים לגבי תצורת ה-
RDP, הזיכרון, התוכנה, היסטוריית הגלישה שלהם ועוד, כל המאפיינים שרוכש ירצה לדעת לפני רכישה. לאחר מכן, הם מתווספים לרשימת מכירה מקוונת הכוללת גישה ל:
שרתים השייכים לרשתות ממשלתיות, תאגידים ואוניברסיטאות,
שרתים המתויגים כבעלי גישה או שמארחים אתרים או שירותים מסוימים, כולל הימורים, גיימינג, שידוכים, קניות מקוונות, בנקאות מקוונת ותשלומים, רשתות סלולר,
ISP ודפדפנים.
שרתים עם תוכנה מותקנת מראש, שיכולה להקל על התקפה, כולל תוכנות דיוור, פיננסים או נקודות מכירה.
כולם נתמכים במגוון של כלי פריצה ומערכות מידע.
במחיר התחלתי נמוך, של 6 דולרים לשרת, חברים בפורום
xDedic יכולים לגשת לכל נתוני השרת, וגם להשתמש בו כפלטפורמה להתקפות זדוניות נוספות. הדבר יכול לכלול התקפות ממוקדות, קוד זדוני,
DDoS, פישינג, הנדסה חברתית והתקפות כלי פרסום, לצד התקפות נוספות.
הבעלים החוקיים של השרתים - ארגונים בעלי מוניטין, כולל רשתות ממשלתיות, תאגידים ואוניברסיטאות, לעיתים אינם מודעים כלל, שתשתית ה-
IT שלהם נפרצה. יותר מכך, ברגע שהושלם קמפיין, התוקפים יכולים להעמיד את הגישה לשרת למכירה נוספת, וכל התהליך מתחיל מחדש.
שוק
xDedic נפתח כנראה לעסקים במהלך 2014, וגדל משמעותית בפופולריות שלו מאז אמצע 2015. במאי 2016, היו רשומים בו
70,624 שרתים מ- 173 מדינות, שפורסמו תחת שמות של 416 מוכרים שונים. 10 המדינות המרכזיות, שהושפעו, הן ברזיל, סין, רוסיה, הודו, ספרד, איטליה, צרפת, אוסטרליה, דרום אפריקה ומלזיה, כפי שמופיע בתרשים להלן. במאי 2016 היו רשומים בו 1,069 שרתים בישראל לעומת 889 שרתים בחודש מרץ.
נראה כי הקבוצה מאחורי
xDedic דוברת רוסית, ולטענתה היא בסך הכל מספקת פלטפורמת סחר ואין לה קשר למוכרים.
קוסטין ראיו, מנהל צוות מחקר וניתוח גלובלי, מעבדת קספרסקי: "
xDedic היא חיזוק נוסף לכך, ש'עבריינות-סייבר-כשירות' מתרחבת באמצעות הוספת זירות מסחר ופלטפורמות סחר. קיומו של השוק מקל על כולם, החל מתוקפים זדוניים עם יכולות נמוכות ועד לקבוצות
APT בגיבוי מדינה, להשתלב בהתקפות הרסניות בדרך זולה, מהירה ויעילה. הקורבנות הסופיים אינם רק הצרכנים או ארגונים העומדים בפני התקפה, אלא גם בעלים השרתים. סביר להניח, שהם אינם מודעים כלל לכך, שהשרתים שלהם נחטפים פעם אחר פעם למשימות התקפה שונות, שכולן נערכות ממש מתחת לאפם".
טופס רכישת שרת:
המלצות לארגונים:
להתקין פתרון אבטחה חזק כחלק מגישה מקיפה, רב שכבתית, להגנת תשתית
IT.
לאכוף של שימוש בסיסמאות חזקות כחלק מתהליך אימות השרת.
להטמיע של תהליך רציף לעדכון תוכנות.
לבצע בקרות אבטחה קבועות של תשתית ה-
IT.
לשקול השקעה בשירותי מודיעין איומים, שישמרו על הארגון מעודכן לגבי איומים חדשים ויציע תובנות מנקודת המבט של עבריינים, כדי לסייע בהערכת רמת הסיכון.
הדו"ח המלא - כאן.
כניסה לפורום xDedic: