روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛مجرمان و مهاجمان سایبری در دو سال گذشته به نوع جدیدی از بازار زیرزمینی پرداختند که به xDedic معروف است، در این پلتفرم، مجرمان سایبری می توانند تعداد زیادی سرور هک شده از سراسر دنیا را خریداری کنند.

براساس این گزارش از شبکه های دولتی گرفته تا سازمانی، هر گونه سروری در xDedic قابل دستیابی است و میانگین قیمت ها هم تنها ۶ دلار برای هر سرور است. به این معنی که با پرداخت این مبلغ، خریدار می تواند به تمام اطلاعات روی سرور دست یافته و حتی ممکن است بتواند حملات مجددی نیز انجام دهد.

محققان در لابراتوار کسپرسکی در مورد فروم xDedic مقاله ای منتشر ساخته اند که 70.000 سرور در آن قربانی حملات سایبری شده اند که این هک توسط یک گروه هکر روسی زبان بوده است.

اعضای سازنده فروم با ابزار ریموت سرور چندین یوزر را پشتیبانی می کند و همچنین دیگر ابزار های هک proxy installers و sysinfo collectorsمی باشد که توسط محققان کسپرسکی گزارش شده است. هدف اصلی فروم xDedic خرید و فروش سرور های هک شده ای است که از طریق ریموت در دسترس هستند.

محققان در مورد xDedic با همکاری یک ISP اروپایی به بررسی قربانیان پرداختند. بر اساس این گزارش در ماه مه 2016، نشان می دهد 70,624سرور از 173 کشور جهان برای فروش گذاشته شده بود. محققان گفتند میزان 416 فروش در ماه مه و کمتر از 425 در ماه آپریل رخ داده است. این در حالی است که بالای 51000 سرور از 183 کشور جهان برای فروش روی این پلتفرم قرار داده شده بود. این آمار نشان می دهد که بر روی این فروم مدیریت مستقیم وجود داشته است.

هنگامی که کاربران برای استفاده از فروم xDedic ثبت نام می کنند آنها می توانند برای دیدن لیستی از سرور های در دسترس از داشبورد استفاده کنند. در این فروم برای هر سرور هک شده، لیستی از اطلاعات سیستم، دسترسی های مدیریتی، ران بودن آنتی ویروس بر روی سیستم، بروزر، اطلاعات آپتایم، سرعت آپلود و دانلود قابل دسترس است. 32 درصد از سرور های هک شده در ماه مه و در کشورهای برزیل، چین، روسیه، هند و اسپانیا بود.

دسترسی از طریق ریموت دسکتاپ این امکان را به خریداران می دهد که بتوانند بصورت ریموت به سیستمهای در معرض خطر دسترسی داشته باشند و همچنین بتوانند بطور فزاینده ای به سرورهای در دسترس، مانند؛ سرویسهای سازمانهای مالی، سیستمهای شرط بندی، فروشگاه های اینترنتی، سایتهای دوست یابی، شبکه های تبلیغاتی و غیره حمله کنند.

در بعضی موارد خریداران به دنبال میزبانی سرور برخی از نرم افزار های خاص مثل حسابداری، گزارش های مالیاتی و نرم افزار های فروش بودند و علاوه بر این ها در پی نرم افزار ایمیل برای استفاده اسپم بودند. نرم افزار point of sales (نرم افزار فروش) از جمله نرم افزارهای محبوبی بود که محققان کسپرسکی اشاره کردند این نرم افزار در 453 سرور از 67 کشور در دسترس قرار گرفته است.

محققان کشف کردند که هریک از پارتنرها به پرتال و ابزار آن ها دسترسی جداگانه خود را همچنان دارند. همچنین محققان اعلام کردند این پارتنر ها با استفاده از یکی از ابزارهای اعتبارسنجی که SysScan  نام دارد برای دسترسی به سرورهایی که در این فروم ها فروخته شده است استفاده می کنند، آنها همچنین می گویند این ابزار اطلاعات سیستمی مانند سرعت دانلود و آپلود و همچنین نرم افزارهای نصب شده روی سرور را گزارش می دهد.

در یک دستگاهی که در آن SysScan پیدا شده بود محققان گزارش کردند آنها ابزاری (DUBrute and XPC ) را یافتند که با استفاده از روش ¹Brute Forceبرای رسیدن به اطلاعات سرور استفاده می کردند. با استفاده از اطلاعات تروجان SCClient، کسپرسکی برای این بدافزار تله‌گذاری کرد تا سرورهای هک شده با بدافزار مشابه را شناسایی کند. لابراتوار کسپرسکی گفت در عرض 12 ساعت نخست 3600 آی پی آدرس به آنها متصل شدند که سازمان های دولتی و دانشگاه ها هم جزء این آمار بودند و کسپرسکی مشتریان خود را از وجود این بدافزار آگاه کرده است.

همچنین یک ابزار دیگر روی دستگاه های به خطر افتاده پیدا شد که پورتهای مشخصی را روی سرورها باز می کند و آنها را به SOCKS های غیرمجاز یا پروکسی های HTTPS  تبدیل می کند. محققان گفتند، xDedic ریموت دسکتاپ مخصوص خود را ساخته که مشتریان مجبورند اطلاعات لاگین را در این ریموت دسکتاپ کپی کنند.

کسپرسکی در گزارش خود حدس می زند تنوع و قیمت پایین سرور های موجود فقط در خدمت مجرمان نبوده بلکه باندهای ²ATP هم از آن به خوبی سود برده اند.

این گزارش می گوید؛ تعداد زیادی از سرورهایی که در بازار زیرزمینی xDedic  برای فروش گذاشته شده، جایگزین بسیار مناسب و ارزانی برای گردانندگان ATP هاییست که نمی خواهند ردی از خود باقی بگذارند. 8 دلار، برای هدفی با منظور دسترسی به تمام اطلاعات پروفایل، قیمت ناچیز و ارزانی است. موضوعی که معمولاً نادیده گرفته می شود این است که؛ سرورهایی که با روش brute-force هک می شوند فرصت مناسبی را برای گردانندگان ATP ها فراهم می کنند تا بدون اینکه سوء ظنی متوجه آنها شود کار خود را انجام دهند.

1. Brute Force (بروت فورس) یکی از انواع حملات هکر ها برای بدست آوردن رمزهای عبور است. در این روش هکر با استفاده از نرم افزار های مخصوص سعی می کند تمام عبارت های ممکن را بررسی کند.
2. تهدید پیشرفته مستمر (Advanced persistent threat) منظور زیرمجموعه‌ای از تهدیدهاست که در یک الگوی دراز مدت حملات نفوذی پیچیده علیه دولت‌ها، شرکت‌ها و فعالان سیاسی استفاده می‌شود. این اصطلاح به گروهی که پشت این حملات است نیز اشاره می‌کند.

 منبع: کسپرسکی آنلاین(ایدکو)

*  کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.