Ak si niekto myslí, že má svoj server pod kontrolou, nemusí tomu byť celkom tak. Experti z elitného výskumného tímu GReAT spoločnosti Kaspersky Lab odhalili obrovský čierny internetový trh, kde kyberzločinci obchodujú s prístupmi k serverom rôznych subjektov z celého sveta.
Cena za jeden prístup sa pohybuje na úrovni už okolo 6 dolárov. Podľa zistení expertov je tento čierny trh, označovaný ako xDedic, ovládaný rusky hovoriacou skupinou. Momentálne ponúka na predaj viac než 70 tisíc „hacknutých“ RDP prístupov (Remote Desktop Protocol) k serverom.
Vo väčšine prípadov ide o servery zabezpečujúce správu populárnych spotrebiteľských webových stránok. Niektoré z nich majú dokonca nainštalovaný softvér na odosielanie priamych správ či riadenie finančných alebo PoS operácií. Môžu byť zneužité nielen na škodlivé aktivity voči zákazníkom, ale aj na rozsiahlejšie útoky cielené na samotných vlastníkov, ktorými môžu byť napr. aj štátne inštitúcie, veľké korporácie či univerzity, často netušiace o prichádzajúcej hrozbe.
xDedic je príkladom nového typu nelegálneho kybernetického trhu: vysoko organizovaného prostredia so silným zázemím, ktoré dokáže každému zločincovi – od tej najnižšej úrovne až po sofistikované skupiny vyvíjajúce pokročilé hrozby – rýchly, lacný a jednoduchý prístup do infraštruktúry organizácie. V tichosti a bez povšimnutia tak môžu plánovať a realizovať svoje zločinecké aktivity tak dlho, ako len potrebujú.
Na existenciu zločineckej platformy xDedic upozornil spoločnosť Kaspersky Lab európsky poskytovateľ internetových služieb (ISP). Hneď potom spoločne odštartovali rozsiahle vyšetrovania. Výsledky vyšetrovania im pomohli odhaliť celý proces: hakeri sa násilne nabúrajú do systému, zmocnia sa údajov zo servera a tie potom poskytnú xDedic. Na napadnutom serveri následne prebehne kontrola RDP konfigurácie, pamäte, softvéru, histórie prehliadania a ďalších základných funkcií. Získané prístupy tak putujú do neustále sa rozširujúcej online-databázy, ktorá obsahuje:
- Servery patriace do sietí štátnych inštitúcií, korporácií či univerzít;
- Servery s prístupom alebo poskytujúce hosting niektorým komerčným webovým stránkam a službám, vrátane herných platforiem, stávkových spoločností, internetových zoznamiek, e-shopov, internetového bankovníctva či platobných systémov, telefónnych zoznamov a pod.;
- Servery s takým predinštalovaným softvérom, ktorý umožňuje odosielanie priamych správ, ako aj riadenie finančných a PoS operácií, ktoré môžu byť ďalej zneužité na cielené útoky;
- To všetko prichádza aj s komplexnou podporou prostredníctvom množstva hackovacích a systémových informačných nástrojov.
Členovia fóra xDedic tak za menej než 6 dolárov získajú prístup ku kompletným údajom zo servera a možnosť zneužiť ich na ďalšie škodlivé aktivity. To môže často slúžiť aj ako dobrý základ pre ďalšie potenciálne hrozby vrátane útokov zameraných na konkrétne ciele, malvérových útokov, DDoS útokov či útokov phishingového charakteru a mnohých ďalších foriem kybernetického zločinu.
Skutoční vlastníci serverov pritom často ani netušia, že došlo ku kompromitácii a zneužitiu ich infraštruktúry. Navyše, jedným predajom sa proces ani zďaleka nekončí. Nelegálne získaný prístup môže jeho nákupca vrátiť späť do predaja, čím sa zopakuje celý proces odznova.
Podľa získaných informácií sa dá predpokladať, že predaj na xDedic bol spustený niekedy v roku 2014, jeho popularita značne narástla v roku 2015. V máji 2016 obsahovala ponuka 70 624 serverov zo 173 krajín, zoznam predávajúcich vtedy tvorilo 416 rôznych mien. Prvú desiatku najviac postihnutých krajín tvoria: Brazília, Čína, Rusko, India, Španielsko, Taliansko, Francúzsko, Austrália, Južná Afrika a Malajzia. Za xDedic údajne stojí rusky hovoriaca skupina, ktorá tvrdí, že je len poskytovateľom obchodnej platformy a nemá žiadne prepojenie na predávajúcich.
„xDedic je len ďalším dôkazom toho, že kybernetický zločin „ako služba“ sa stále viac rozširuje prostredníctvom komerčných ekosystémov a obchodných platforiem. Ich existencia a dostupnosť umožňuje zločincom na akejkoľvek úrovni uskutočniť útoky, ktoré by mohli mať skutočne devastačné následky pomerne lacným, rýchlym a efektívnym spôsobom. Obeťami týchto útokov však nemusia byť len bezprostredne dotknutí spotrebitelia alebo organizácie, na ktoré bol útok primárne zacielený. V konečnom dôsledku sú obeťami aj samotní majitelia serverov, ktorí o ich často viacnásobnom zneužití nemusia mať ani potuchy,“ povedal Costin Raiu, riaditeľ globálneho expertného tímu GReAT spoločnosti Kaspersky Lab.
Odporúčania expertov z Kaspersky Lab pre organizácie, ktoré vlastnia server s potenciálnym rizikom zneužitia:
- Inštalujte silné bezpečnostné riešenie, ktoré by bolo súčasťou komplexnej viacvrstvovej ochrany IT infraštruktúry;
- Presadzujte používanie silných hesiel, ktoré sú súčasťou autentifikačného procesu pre prístup na server;
- Zaveďte systém pravidelnej aktualizácie;
- Vykonávajte pravidelný bezpečnostný audit IT infraštruktúry;
- Zvážte investíciu do služby zameranej na sledovanie hrozieb, ktorá by vám poskytovala pravidelné informácie o aktuálnych hrozbách a tiež potrebný podklad na vyhodnocovanie úrovne rizika.
