بازار سیاهی که متاعش سرورهای هک شده است؛ نگاهی به xDedic

شکل گیری فضای مجازی، آغازی برای ایجاد فرصت های شغلی تازه بود که خوشبختانه این خبر خوبی است. اما آنطور که در برخی گزارشات آمده، این فضا در سال های اخیر، به بستری برای ایجاد بازارهای زیرزمینی بدل گردید که xDedic یکی از آنهاست.
 
شاید در وهله نخست نتوان اطلاعات زیادی را با دیدن اسم کوتاه و البته مرموز xDedic به دست آورد. با این همه، باید به اطلاع تان برسانیم که در این بازار مهجور همه می توانند خریدار یکی یا تمامی هفتاد هزار سروری باشند که در سرتاسر دنیا هک شده اند.
 
 
xDedic در واقع محلی است برای خریداران تا هرآنچه که می خواهند را در آن بیابند و از شبکه های دولتی و شرکتی گرفته تا سرورهای تحت وب و دیتابیس ها را بسته به نیاز خود خریداری نمایند و بهترین نکته در مورد آن شاید قیمت پایینش باشد؛ خرید مجوز دسترسی به یک سرور مستقر در کشورهای عضو اتحادیه اروپا شاید حتی با تنها 6 دلار هم ممکن باشد.
 
این هزینه که تنها یک بار هم پرداخت می گردد دسترسی خریدار را به تمامی داده هایی فراهم می کند که روی سرور قرار دارند و حتی ممکن است امکانی را به فرد یا نهاد خریدار دهد که با استفاده از این داده ها، حملات سایبری دیگری را ترتیب دهد. سهولت دسترسی به قربانیان، ارزان تر نمودن این فرایند و سرعت بخشیدن به آن و ایجاد فرصت های تازه هم برای مجرمان سایبری و عاملات تهدیدات پیشرفته همگی از جمله اقداماتی هستند که هکرها رویایش را در سر می پرورانند.
 
 
حال آزمایشگاه کسپرسکی برای بررسی xDedic با ارائه دهندگان خدمات اینترنتی در اروپا وارد همکاری شده است تا از این طریق داده های لازم را در خصوص قربانیان این بازار سیاه و عملکرد آن به دست آورد.
 
طبق بررسی های صورت گرفته توسط این ائتلاف، در ماه می امسال، حدود 70624 سرور توسط 416 موجودیت مستقل فروشنده از 173 کشور مختلف دنیا در این بازار به فروش گذاشته شد. در ماه مارس این رقم به 55 هزار سرور تنزل یافت که نشان می دهد دیتابیس کاربران و سرورها در این ماه به شکل بهتری نگهداری و به روز شده است.
 
 
جالب اینجاست که توسعه دهندگان xDedic خودشان چیزی نمی فروشند و در مقابل بازاری را ایجاد کرده اند که در آن شبکه ای از وابستگانشان می توانند دسترسی به سرورهای تضعیف شده را به علاقمندان بفروشند.
 
اگر صادق باشیم و جوانب منفی این کار را نادیده بگریم، آنها که مدیریت xDedic را بر عهده دارند خدماتی «با کیفیت» را در اختیار مشتریان خود قرار می دهند (این فوروم حتی پشتیبانی فنی لایو هم در اختیار مشتریانش می گذارد و ابزارهای ویژه ای برای پچ سرورهای هک شده و آپلود اطلاعات مربوط به سرور روی دیتابیس خود دارد).
 
10 فروشنده اصلی سرور در این بازار
 
سوال اینجاست: فروشندگان xDedic چه کسانی هستند؟ کارشناسان کسپرسکی اخیرا موفق شده اند بدافزاری (به نام SCCLIENT) که توسط یکی از آنها مورد استفاده قرار می گیرد را شناسایی نمایند و دیدی مختصر نسبت به عملیات های انجام شده توسط یکی از این موجودیت ها پیدا کنند که براساس شمار قربانیان آن تصور می شود یکی از موجودیت های xLeon، Narko یا sirr باشد.
 
 
تروجان SCCLIENT: اطلاعات به دست آمده از قربانیان با استفاده از Sinkholing (دوازده ساعت نخست)
 
همانطور که در بالا گفته شد xDedic نوعی ابزار ایجاد پروفایل هم در اختیار مشتریان خود قرار می دهد که در واقع اطلاعات لازم را در خصوص نرم افزار نصب شده روی سرور هک شده به دست می آورد و برای نمونه مشخص می کند که به شرط بندی آنلاین مربوط می شود یا تجارت و پرداخت.
 
روشن است که مجرمان سایبری علاقه ویژه ای به نرم افزارهای حسابداری، گزارشگیری مالیاتی و نقطه فروش (point-of -sale) دارند چراکه این نرم افزارها فرصت های زیادی را برای تقلب و جعل در اختیارشان قرار می دهند.
 
 
تیم کسپرسکی در جریان بررسی های خود با 453 مورد سرور مختلف از 67 کشور دنیا برخورد که روی آنها نرم افزارهای PoS نصب شده بود.
 
 
سرورهایی که نرم افزارهای PoS روی آنها نصب شده بود و برای فروش گذاشته شده بودند (ماه می 2016)
 
اما می خواهید بدانید این اطلاعات چه سودی می تواند برای مجرمان داشته باشد؟ برای نمونه ممکن است که یک کاربر خرابکار به فوروم xDedic برود، اکانتی برای خود ثبت نماید و سپس با استفاده از بیت کوین تعدادی سرور را خریداری کند که روی آنها همین نرم افزارها نصب گردیده است. در مرحله بعد مجرم سایبری می تواند بدافزارهای PoS نظیر Backoff را روی سرورهای خریداری شده نصب نموده و اطلاعات مربوط به کارت های اعتباری آنها را سرقت نماید. اما این تنها یکی از موارد استفاده است و قطعا احتمالات بیشتر از این است.
 
خوشبختانه آزمایشگاه کسپرسکی مساله را با نهادهای مجری قانون در میان گذاشته و هم اکنون در پروسه های نظارتی و بازرسی با این سازمان ها همکاری دارد.