למכירה: שרתים פרוצים בשישה דולר

נחשף פורום גלובלי בו עברייני סייבר יכולים לרכוש ולמכור גישה לשרתים שנפרצו במחיר שמתחיל בשישה דולר ליחידה – כך עולה ממחקר חדש של קספרסקי (Kaspersky Lab).

על פי ענקית האבטחה, בשוק xDedic, אשר מופעל על ידי קבוצה דוברת רוסית, רשומים כרגע למכירה 70,625 שרתי Remote Desktop Protocol. רבים מהשרתים מארחים, או מספקים גישה לאתרי צרכנות ושירותים פופולריים, ובחלקם מותקנות תוכנות לדיוור, חשבונות פיננסים ועיבוד נקודות מכירה (PoS).

הם יכולים לשמש כדי לפגוע בתשתית הבעלים, או כדי לשמש כבסיס להתקפות נרחבות יותר, בעוד לבעלי  השרתים – בהם רשויות ממשלתיות, תאגידים ואוניברסיטאות – כמעט אין מושג מה מתרחש.

על פי החוקרים, xDedic הוא דוגמה לסוג חדש של שוק עבריינות סייבר: מאורגן ונתמך היטב, ופונה לכולם, החל מעברייני סייבר מתחילים ועד לקבוצות APT. השוק מציע גישה זולה ומהירה לתשתיות של ארגונים לגיטימיים, המאפשרות לשמור את הפעילות העבריינית מתחת למכ"ם זמן רב ככל שניתן.

פלטפורמה להתקפות זדוניות

ספק שירותי אינטרנט אירופאי התריע בפני מעבדת קספרסקי על קיומו של xDedic, והחברות עבדו יחדיו כדי לחקור כיצד הפורום פועל. התהליך, על פי החוקרים, הוא פשוט וממצה: האקרים פורצים לשרתים, לעיתים קרובות באמצעות פריצת כח (brute-force), ומעבירים את ההרשאות ל-xDedic.

לאחר מכן, נבדקים השרתים לגבי תצורת ה-RDP, הזיכרון, התוכנה, היסטוריית הגלישה שלהם ועוד – כל המאפיינים שרוכש ירצה לדעת לפני רכישה.

לאחר מכן, הם מתווספים לרשימת מכירה מקוונת הכוללת גישה לשרתים השייכים לרשתות ממשלתיות, תאגידים ואוניברסיטאות; שרתים המתויגים כבעלי גישה, או המארחים אתרים או שירותים מסוימים, כולל הימורים, גיימינג, שידוכים, קניות מקוונות, בנקאות מקוונת ותשלומים, רשתות סלולר, ISP ודפדפנים; שרתים עם תוכנה מותקנת מראש אשר יכולה להקל על התקפה, כולל תוכנות דיוור, פיננסים או נקודות מכירה. עוד מציינים חוקרי קספרסקי כי כולם נתמכים במגוון של כלי פריצה ומערכות מידע.

במחיר התחלתי נמוך, של שישה דולר לשרת, חברים בפורום xDedic יכולים לגשת לכל נתוני השרת, וגם להשתמש בו כפלטפורמה להתקפות זדוניות נוספות. הדבר יכול לכלול התקפות ממוקדות, קוד זדוני, DDoS, פישינג, הנדסה חברתית והתקפות כלי פרסום, לצד התקפות נוספות.

מתקפות מתחת לאף

הבעלים החוקיים של השרתים – ארגונים בעלי מוניטין, כולל רשתות ממשלתיות, תאגידים ואוניברסיטאות – לעיתים אינם מודעים כלל כי תשתית ה-IT שלהם נפרצה. מעבר לכך, ברגע שהושלם קמפיין תקיפה, התוקפים יכולים להעמיד את הגישה לשרת למכירה נוספת, וכל התהליך מתחיל מחדש.

שוק xDedic נפתח לעסקים במהלך 2014, וגדל משמעותית בפופולריות שלו מאז אמצע 2015. במאי 2016, היו רשומים בו 70,624 שרתים מ-173 מדינות, אשר פורסמו תחת שמות של 416 מוכרים שונים.

10 המדינות המרכזיות שהושפעו הן: ברזיל, סין, רוסיה, הודו, ספרד, איטליה, צרפת, אוסטרליה, דרום אפריקה ומלזיה. במאי 2016 היו רשומים בו 1,069 שרתים בישראל, לעומת 889 שרתים בחודש מרץ.

לטענת הקבוצה, היא בסך הכל מספקת פלטפורמת סחר ואין לה קשר למוכרים.

"xDedic היא חיזוק נוסף לכך ש'עבריינות-סייבר-כשירות', Cybercrime-as-a-Service, מתרחבת באמצעות הוספת זירות מסחר ופלטפורמת סחר. קיומו של השוק מקל על כולם, החל מתוקפים זדוניים עם יכולות נמוכות ועד לקבוצות APT בגיבוי מדינה. כך כולם יכולים להשתלב בהתקפות הרסניות בדרך זולה, מהירה ויעילה", אמר קוסטין ראיו, מנהל צוות מחקר וניתוח גלובלי, קספרסקי.

לדבריו, "הקורבנות הסופיים אינם רק הצרכנים או ארגונים העומדים בפני התקפה, אלא גם בעלי השרתים. סביר להניח שהם אינם מודעים כלל לכך שהשרתים שלהם נחטפים, פעם אחר פעם, למשימות התקפה שונות, שכולן נערכות ממש מתחת לאפם".