به گزارش خبرنگار اخبار داغ گروه فضای مجازی باشگاه خبرنگاران جوان؛ XDedic
نام کوتاه و مرموز مرکزی تجاری است که چیز زیادی نمیتوان از آن فهمید. اما در این بازار تجاری ناشناخته، بیش از 70000 سرور هکشده در سراسر اینترنت وجود دارد که هر کسی میتواند آنها را خریداری کند.
ورود به تریبون XDedic
از شبکههای دولتی تا شرکتهای بزرگ، از سرورهای وب تا پایگاههای اطلاعاتی، اقلامی است که در بازار XDedic با قیمت بسیار پایین برای فروش گذاشته شده است. خرید دسترسی به سرور شبکهای متعلق به کشوری در اتحادیۀ اروپا فقط 6 دلار هزینه دارد.
این هزینۀ استثنایی و ناچیز به خریدار مغرض امکان دسترسی به تمام پایگاههای اطلاعاتی سرورها را میدهد و امکان حملات بیشتری را برای او فراهم میکند. این رویای یک هکر است؛ دسترسی آسان به قربانیان با کمترین هزینه که راه را برای مجرمان سایبری و عوامل تهدیدکننده پیشرفته باز میکند.
کسپرسکی با همکاری ISP اروپا تحقیق دربارۀ عملکرد XDedic را آغاز کرد. به کمک این تحقیق میتوانیم اطلاعات مربوط به قربانیان و شیوۀ کار این مرکز تجاری را جمعآوری کنیم. در مه 2016، 70624 سرور از 416 فروشنده در 173 کشور به فروش گذاشته شده بود. در مارس 2016، این تعداد 55000 عدد بود، که نشان میدهد اطلاعات کاربران و سرورها بهدقت محافظت و بهروزرسانی میشده است.
کشورهایی با بیشترین سرورِ فروشی
نکتۀ جالب اینجاست که توسعهدهندگان XDedic خودشان چیزی نمیفروشند. بلکه بازاری ایجاد کردهاند که در آن شبکههای وابسته میتوانند به سرورهای توافقشده دسترسی داشته باشند. اگر این حرف درست باشد به این معنا است که افرادی که پشت XDedic هستند یک خدمات کِیفی ایجاد کردهاند؛ تریبونی که حتی پشتیبانی فنی مستقیم ، ابزاری خاص برای تعمیر سرورهای هکشده و ابزار پروفایلسازی برای آپلود اطلاعات سرورهای هکشده در پایگاه اطلاعاتی XDedic را نیز در بر میگیرد.
10 فروشندۀ برتر- مه 2016
بنابراین فروشندگانی که نامشان برده شد چه کسانی هستند؟ ما موفق شدیم تنها بخشی از ویروس رایانهای (SCCLIENT) را که یکی از آنها استفاده میکرد شناسایی و در C&C آن نفوذ کنیم. به این ترتیب توانستیم به عملکرد یکی از این واحدها بر مبنای تعداد قریانیان نگاهی کوتاه بیندازیم که در نهایت به Narko، xLeon و sirr مظنون شدیم.
SCCLIENT Trojan : اطلاعات قربانیان از نفوذ (12 ساعت اول)
نرمافزار پروفایلسازی که توسط توسعهدهندگان تولید شده، اطلاعاتی درباره نرمافزار نصبشده روی سرور را نیز جمعآوری میکند، مثل شرطبندی، تجارت و پرداخت آنلاین. ظاهراً علاقۀ زیادی به نرمافزار حسابداری، گزارش مالیات و فروشگاه (PoS) وجود داردکه فرصتهای بسیاری برای کلاهبرداران فراهم میکند:
ابزار ارسال ایمیل ناخواسته و حمله |
نرمافزار قمار و مالی
|
نرمافزار POS
|
Advanced Mass Sender
Bitvise Tunnelier
DU Brute
LexisNexis Spam Soft
LexisNexis Proxifier
Proxifier
Spam Soft |
Full Tilt Poker
iPoker Network
UltraTax 2010 (2011,..,2015)
Abacus Tax Software
CCH tax14 (tax15)
CCH Small Firm Services
ChoicePoint
ProSeries TAX (2014,2015)
ProSystem fx Tax
TAX Software
2015 Tax Praparation
Tax Management Inc.
Lacerte Tax |
PosWindows
BrasilPOS
POS AccuPOS
POS Active-Charge
POS Amigo
POS Catapult
POS Firefly
POS ePOS
POS EasiPos
POS Revel
POS Software (Generic)
POS Toast
POS QBPOS
PosTerminal
POS kiosk.exe
POS roi.exe
POS PTService.exe
POS pxpp.exe
POS w3wp.exe
POS DpsEftX.ocx
POS AxUpdatePortal.exe
POS callerIdserver.exe
POS PURCHASE.exe
POS XPS.exe
POS XChgrSrv.exe |
در طول این تحقیق، ما 453 سرور از 67 کشور داشتیم که نرمافزار PoS روی آنها نصب شده بود:
سرورهای فروشی حاوی نرمافزار PoS
بهعنوان نمونه، یک کاربر مغرض میتوانست به تریبون XDedic برود، یک حساب کاربری درست کند، آن را با Bitcoin پر کند و پس از آن تعدادی سرور بخرد که نرمافزار PoS روی آنها نصب شده باشد. سپس، او میتوانند روی این سرورها ویروس رایانه PoS مثل Backoff نصب کند تا تعدادی کارت اعتباری خریدری کند. این احتمالات پایانی ندارد.
کسپرسکی این موضوع را به آژانسهای اجرای قانون گزارش کرده و در تحقیقات با آنها همکاری میکند.
گزارش از زهرا زادفرج
انتهای پیام/