На прошлой неделе специалисты «Лаборатории Касперского» опубликовали отчет, рассказывающий о деятельности подпольной торговой площадки xDedic, где продают взломанные серверы со всего мира. Это история получила неожиданное продолжение, когда неизвестный доброжелатель поделился с исследователями ссылками на списки взломанных серверов, которые выложили на Pastebin.
Через несколько часов после публикации первого отчета торговая площадка xDedic, работавшая даже не в даркнете, а в обычном интернете, ушла в оффлайн. Напомню, что перед этим исследователи успели детально изучить ресурс и только в мае 2016 года насчитали на xDedic 70 624 сервера, от 416 разных продавцов из 173 стран мира.
Вскоре некто, скрывающийся под ником AngryBirds, оставил под отчетом экспертов любопытный комментарий, содержавший ссылки на Pastebin. Исследователи рассказывают, что обычно они относятся к таким комментариям с большим скепсисом, но все же было принято решение проверить данные. Оказалось, что на Pastebin размещены объемные списки IP-адресов и дат; каждый дамп содержит примерно 19 000 записей.
Автор комментария дал понять, что эти данные связаны со взломанными серверами, продававшимися на xDedic. Так как принимать эти заявления на веру никто не собирался, исследователи провели тщательный анализ дампов, суммарно содержащих 176 000 записей. Информация показалась подлинной с первого же взгляда, – самые ранние даты соответствовали периоду начала работы xDedic, то есть осени 2014 года.
Дальше исследователей ждали сложности. Дело в том, что в большинстве случаев торговая площадка позволяла увидеть не полные IP-адреса, а лишь два первых октета.
Ранее исследователи уже прибегали к подмене серверов (sinkholing), когда собирали данные о бэкдоре SSCLIENT, который использовал один из продавцов на xDedic. То есть некоторое количество полных IP-адресов в распоряжении специалистов все же было. Однако «Лаборатория Касперского» исследовала xDedic и деятельность его продавцов с конца марта 2016 года, тогда как дампы содержали данные до февраля 2016 года.
Тем не менее, исследователи решили работать с тем, что имеют и соотнесли свои данные с информацией из дампов. Выяснилось, что 1303 IP-адреса присутствуют в обоих массивах данных.
Также эксперты проверили, сколько IP-адресов из подборки на Pastebin ассоциируются с серверами RDP. Простое сканирование известных IP выявило, что 71 784 IP-адреса ассоциируются с серверами RDP, работающими на портах 3300-3400 (стандартный порт 3389 оказался наиболее популярен).
Затем специалисты все же провели сопоставление подсетей, опираясь на собранные ранее данные о первых двух окетах IP-адресов. Исследователи пишут, что результат их просто ошеломил. Так, с xDedic до марта 2016 года были собраны данные о 8721 подсети, тогда как в дампах Pastebin обнаружилось 8718 совпадающих подсетей. Только три IP с xDedic не вошли в массив данных с Pastebin. Исследователи проверили их отдельно и выяснили, что они появились после 29 февраля 2016 года, то есть их попросту не могло быть в дампе.
Опираясь на новые данные, исследователи скорректировали статистику, опубликованную в первом отчете. К примеру, теперь на рынке скомпрометированных серверов лидируют США (более 60 000 взломанных серверов) и Великобритания (более 8800 серверов). Занимавшая первое место Бразилия теперь оказалась на третьем месте с 8770 тысячами серверов.
Также в новом отчете аналитики рассказали о самых дорогих «лотах» xDedic. Напомню, что первый отчет гласил, что цена на скомпрометированные серверы начиналась всего от $6-8. Теперь исследователи пишут, что дорогих серверов на xDedic было очень мало: предложений стоимостью более $50 насчитывалось всего порядка пятидесяти штук. В основном это были серверы, расположенные на территории США – на Аляске и во Флориде.
Топ-10 самых дорогих серверов, который можно увидеть ниже, полностью принадлежит группировке (или хакеру-одиночке) Narko. Наиболее дорогим предложением, размещенным на xDedic, можно считать чикагский сервер, доступ к которому оценивался в $6 000.
Подробный отчет об исследовании дампов с Pastebin можно найти здесь.
Фото: Victorgrigas