گزارش کسپرسکی؛
فروش 70000 سرور هکشده در مرکز تجاری XDedic
طی دو سال گذشته، نوع متفاوتی از بازار مخفی در نقاط ضعیف اینترنت شکل گرفته است.
به گزارش خبرنگار اخبار داغ گروه فضای مجازی باشگاه خبرنگاران جوان؛ XDedic نام کوتاه و مرموز مرکزی تجاری است که چیز زیادی نمیتوان از آن فهمید. اما در این بازار تجاری ناشناخته، بیش از 70000 سرور هکشده در سراسر اینترنت وجود دارد که هر کسی میتواند آنها را خریداری کند.
ورود به تریبون XDedic
از شبکههای دولتی تا شرکتهای بزرگ، از سرورهای وب تا پایگاههای اطلاعاتی، اقلامی است که در بازار XDedic با قیمت بسیار پایین برای فروش گذاشته شده است. خرید دسترسی به سرور شبکهای متعلق به کشوری در اتحادیۀ اروپا فقط 6 دلار هزینه دارد.
این هزینۀ استثنایی و ناچیز به خریدار مغرض امکان دسترسی به تمام پایگاههای اطلاعاتی سرورها را میدهد و امکان حملات بیشتری را برای او فراهم میکند. این رویای یک هکر است؛ دسترسی آسان به قربانیان با کمترین هزینه که راه را برای مجرمان سایبری و عوامل تهدیدکننده پیشرفته باز میکند.
تریبون خرید سرور
کسپرسکی با همکاری ISP اروپا تحقیق دربارۀ عملکرد XDedic را آغاز کرد. به کمک این تحقیق میتوانیم اطلاعات مربوط به قربانیان و شیوۀ کار این مرکز تجاری را جمعآوری کنیم. در مه 2016، 70624 سرور از 416 فروشنده در 173 کشور به فروش گذاشته شده بود. در مارس 2016، این تعداد 55000 عدد بود، که نشان میدهد اطلاعات کاربران و سرورها بهدقت محافظت و بهروزرسانی میشده است.
کشورهایی با بیشترین سرورِ فروشی
نکتۀ جالب اینجاست که توسعهدهندگان XDedic خودشان چیزی نمیفروشند. بلکه بازاری ایجاد کردهاند که در آن شبکههای وابسته میتوانند به سرورهای توافقشده دسترسی داشته باشند. اگر این حرف درست باشد به این معنا است که افرادی که پشت XDedic هستند یک خدمات کِیفی ایجاد کردهاند؛ تریبونی که حتی پشتیبانی فنی مستقیم ، ابزاری خاص برای تعمیر سرورهای هکشده و ابزار پروفایلسازی برای آپلود اطلاعات سرورهای هکشده در پایگاه اطلاعاتی XDedic را نیز در بر میگیرد.
10 فروشندۀ برتر- مه 2016
بنابراین فروشندگانی که نامشان برده شد چه کسانی هستند؟ ما موفق شدیم تنها بخشی از ویروس رایانهای (SCCLIENT) را که یکی از آنها استفاده میکرد شناسایی و در C&C آن نفوذ کنیم. به این ترتیب توانستیم به عملکرد یکی از این واحدها بر مبنای تعداد قریانیان نگاهی کوتاه بیندازیم که در نهایت به Narko، xLeon و sirr مظنون شدیم.
SCCLIENT Trojan : اطلاعات قربانیان از نفوذ (12 ساعت اول)
نرمافزار پروفایلسازی که توسط توسعهدهندگان تولید شده، اطلاعاتی درباره نرمافزار نصبشده روی سرور را نیز جمعآوری میکند، مثل شرطبندی، تجارت و پرداخت آنلاین. ظاهراً علاقۀ زیادی به نرمافزار حسابداری، گزارش مالیات و فروشگاه (PoS) وجود داردکه فرصتهای بسیاری برای کلاهبرداران فراهم میکند:
| ابزار ارسال ایمیل ناخواسته و حمله | نرمافزار قمار و مالی |
نرمافزار POS |
| Advanced Mass Sender Bitvise Tunnelier DU Brute LexisNexis Spam Soft LexisNexis Proxifier Proxifier Spam Soft |
Full Tilt Poker iPoker Network UltraTax 2010 (2011,..,2015) Abacus Tax Software CCH tax14 (tax15) CCH Small Firm Services ChoicePoint ProSeries TAX (2014,2015) ProSystem fx Tax TAX Software 2015 Tax Praparation Tax Management Inc. Lacerte Tax |
PosWindows BrasilPOS POS AccuPOS POS Active-Charge POS Amigo POS Catapult POS Firefly POS ePOS POS EasiPos POS Revel POS Software (Generic) POS Toast POS QBPOS PosTerminal POS kiosk.exe POS roi.exe POS PTService.exe POS pxpp.exe POS w3wp.exe POS DpsEftX.ocx POS AxUpdatePortal.exe POS callerIdserver.exe POS PURCHASE.exe POS XPS.exe POS XChgrSrv.exe |
در طول این تحقیق، ما 453 سرور از 67 کشور داشتیم که نرمافزار PoS روی آنها نصب شده بود:
سرورهای فروشی حاوی نرمافزار PoS
بهعنوان نمونه، یک کاربر مغرض میتوانست به تریبون XDedic برود، یک حساب کاربری درست کند، آن را با Bitcoin پر کند و پس از آن تعدادی سرور بخرد که نرمافزار PoS روی آنها نصب شده باشد. سپس، او میتوانند روی این سرورها ویروس رایانه PoS مثل Backoff نصب کند تا تعدادی کارت اعتباری خریدری کند. این احتمالات پایانی ندارد.
کسپرسکی این موضوع را به آژانسهای اجرای قانون گزارش کرده و در تحقیقات با آنها همکاری میکند.
گزارش از زهرا زادفرج
انتهای پیام/
