Специалисты «Лаборатории Касперского» рассказали об интересном явлении: торговой площадке xDedic, где продают взломанные серверы со всего мира. Интересно, что ресурс располагался отнюдь не в даркнете, а доступ к серверу в правительственной сети государства, входящего в состав ЕС, мог стоить здесь всего шесть долларов.
Исследователи пишут, что xDedic проработал порядка двух лет, и для изучения необычного магазина специалисты договорились о сотрудничестве с неназванным европейским интернет-провайдером. Выяснилось, что в мае 2016 года на торговой площадке насчитывалось 70 624 сервера, выставленных на продажу, от 416 разных продавцов из 173 стран мира. Интересно, что в марте 2016 года тот же показатель равнялся 55 000 серверов, то есть база пользователей и серверов явно поддерживалась и обновлялась.
Почему xDedic называют «торговой площадкой»? Дело в том, что сами авторы ресурса не продают ничего, они лишь создали сайт, где их многочисленные компаньоны могут торговать доступом к взломанным серверам. При этом на форуме имеется техническая поддержка, а пользователям доступны специальные инструменты, чтобы патчить взломанные серверы и разрешить одновременно несколько RDP-сессий (Remote Desktop Protocol), а также инструменты для сбора информации о серверах и ее загрузки в базу данных xDedic.
Доступ ко всему этому изобилию, конечно, не был бесплатным, но исследователи отмечают:
«Заплатив за доступ один раз, покупатель получает доступ ко всем данным на сервере, а также возможность использовать этот доступ для проведения будущих атак. По сути это мечта хакера: простой, дешевый и быстрый доступ к жертвам, открывающий новые возможности и для простых киберпреступников, и для тех, кто в киберпреступном мире занимает более серьезное место».
Сотрудники «Лаборатории Касперского» сообщают, что они сумели «опознать» ряд клиентов ресурса:
«Нам удалось идентифицировать характерный фрагмент вредоносного кода (SCCLIENT), используемый одним из продавцов; также нам удалось провести синкхолинг командных серверов этого зловреда. Таким образом мы смогли бегло взглянуть на активность одного из этих действующих лиц – судя по числу жертв, это, скорее всего, Narko, xLeon или sirr».
Собственный софт xDedic также собирал данные о ПО, установленном на взломанных серверах, таком как азартные игры, программы трейдинга и осуществления платежей. Аналитики пишут, что среди злоумышленников явно превалирует интерес с программам бухучета, налоговой отчетности и ПО для PoS-терминалов. Так, обнаружилось, что на 453 серверах из 67 стран было установлено ПО для PoS-терминалов.
Через несколько часов после публикации отчета xDedic ушел в оффлайн, но «Лаборатория Касперского» сообщает, что уже передала собранную информацию соответствующим правоохранительным органам и продолжает принимать участие в текущем расследовании.
С подробной версией доклада исследователей можно ознакомиться здесь (PDF).