Myslíte si, že máte svoj server pod kontrolou? Nemusí tomu byť celkom tak.
Experti z výskumného tímu GReAT spoločnosti Kaspersky Lab odhalili obrovský čierny internetový trh, kde kyberzločinci obchodujú s prístupmi k serverom rôznych subjektov z celého sveta. Cena za jeden prístup sa pohybuje na úrovni okolo 6 dolárov. Podľa zistení expertov je tento čierny trh, označovaný ako xDedic, ovládaný rusky hovoriacou skupinou. Momentálne ponúka na predaj viac než 70 tisíc „hacknutých“ RDP prístupov (Remote Desktop Protocol) k serverom. Vo väčšine prípadov ide o servery zabezpečujúce správu populárnych spotrebiteľských webových stránok. Niektoré z nich majú dokonca nainštalovaný softvér na odosielanie priamych správ či riadenie finančných alebo PoS operácií. Môžu byť zneužité nielen na škodlivé aktivity voči zákazníkom, ale aj na rozsiahlejšie útoky cielené na samotných vlastníkov, ktorými môžu byť napr. aj štátne inštitúcie, veľké korporácie či univerzity, často netušiace o prichádzajúcej hrozbe.
xDedic je príkladom nového typu nelegálneho kybernetického trhu: vysoko organizovaného prostredia so silným zázemím, ktoré dokáže každému zločincovi – od tej najnižšej úrovne až po sofistikované skupiny vyvíjajúce pokročilé hrozby – rýchly, lacný a jednoduchý prístup do infraštruktúry organizácie. V tichosti a bez povšimnutia tak môžu plánovať a realizovať svoje zločinecké aktivity tak dlho, ako len potrebujú.
Celý proces vyzerá nasledovne. Hakeri sa násilne nabúrajú do systému, zmocnia sa údajov zo servera a tie potom poskytnú xDedic. Na napadnutom serveri následne prebehne kontrola RDP konfigurácie, pamäte, softvéru, histórie prehliadania a ďalších základných funkcií. Získané prístupy tak putujú do neustále sa rozširujúcej online-databázy, ktorá obsahuje:
- Servery patriace do sietí štátnych inštitúcií, korporácií či univerzít;
- Servery s prístupom alebo poskytujúce hosting niektorým komerčným webovým stránkam a službám, vrátane herných platforiem, stávkových spoločností, internetových zoznamiek, e-shopov, internetového bankovníctva či platobných systémov, telefónnych zoznamov a pod.;
- Servery s takým predinštalovaným softvérom, ktorý umožňuje odosielanie priamych správ, ako aj riadenie finančných a PoS operácií, ktoré môžu byť ďalej zneužité na cielené útoky;
- To všetko prichádza aj s komplexnou podporou prostredníctvom množstva hackovacích a systémových informačných nástrojov.
Členovia fóra xDedic tak za menej než 6 dolárov získajú prístup ku kompletným údajom zo servera a možnosť zneužiť ich na ďalšie škodlivé aktivity. To môže často slúžiť aj ako dobrý základ pre ďalšie potenciálne hrozby vrátane útokov zameraných na konkrétne ciele, malvérových útokov, DDoS útokov či útokov phishingového charakteru a mnohých ďalších foriem kybernetického zločinu.
Skutoční vlastníci serverov pritom často ani netušia, že došlo ku kompromitácii a zneužitiu ich infraštruktúry. Navyše, jedným predajom sa proces ani zďaleka nekončí. Nelegálne získaný prístup môže jeho nákupca vrátiť späť do predaja, čím sa zopakuje celý proces odznova.
Predpokladá sa, že predaj na xDedic bol spustený niekedy v roku 2014 a jeho popularita značne narástla v roku 2015. V máji 2016 obsahovala ponuka 70 624 serverov zo 173 krajín, zoznam predávajúcich vtedy tvorilo 416 rôznych mien. Prvú desiatku najviac postihnutých krajín tvoria: Brazília, Čína, Rusko, India, Španielsko, Taliansko, Francúzsko, Austrália, Južná Afrika a Malajzia. Za xDedic údajne stojí rusky hovoriaca skupina, ktorá tvrdí, že je len poskytovateľom obchodnej platformy a nemá žiadne prepojenie na predávajúcich.
