اطالعات ۷هزار سرور هک شده، به حراج گذاشته شدند

Byte - - News -

مجرمـان و مهاجمـان سـایبری در دو سـال گذشـته بـه نـوع جدیـدی از بـازار زیرزمینـی پرداختنـد کـه بـه

معـروف اسـت، در ایـن پلتفـرم، مجرمـان xDedic سـایبری میتواننـد تعـداد زیـادی سـرور هکشـده از سراسـر دنیـا را خریـداری کنند. براسـاس این گـزارش از شـبکههای دولتـی گرفته تا سـازمانی، هرگونه سـروری در قابـلدسـتیابیاسـتومیانگیـنقیمتها

xDedic هـم تنهـا ۶ دالر بـرای هـر سـرور اسـت. به ایـن معنی کـه بـا پرداخـت ایـن مبلـغ، خریـدار مـی تواند بـه تمام اطالعـات روی سـرور دسـت یافته و حتی ممکن اسـت بتوانـد حمـالت مجـددی نیـز انجـام دهـد. محققـان در البراتـوارکسپرسـکیدرمـوردفـروم مقالـهای

xDedic منتشـر سـاختهاند که ۰۰۰۷ سـرور در آن قربانی حمالت سـایبری شـدهاند کـه ایـن هک توسـط یک گـروه هکر روسـی زبـان بـوده اسـت. اعضـای سـازنده فروم بـا ابزار ریمـوت سـرور چندیـن یـوزر را پشـتیبانی میکنـد و همچنیـندیگـرابزارهـایهـک و

‪proxy installers‬ مـی باشـد کـه توسـط محققـان ‪sysinfo collectors‬ کسپرسـکی گـزارش شـده اسـت. هـدف اصلـی فـروم

خرید و فروش سـرورهای هکشـده ای اسـت xDedic کـه از طریـق ریمـوت در دسـترس هسـتند. محققـان درمـورد بـاهمـکارییـک اروپایـیبـه

‪ISP xDedic‬ بررسـی قربانیـان پرداختنـد. بـر اسـاس ایـن گـزارش در مـاه مـه ۶۱۰۲، نشـان میدهـد ۴۲۶.۰۷ سـرور از ۳۷۱ کشـور جهـان برای فروش گذاشـته شـده بـود. محققان گفتنـد میـزان ۶۱۴ فروش در مـاه مه و کمتـر از ۵۲۴ در مـاه آپریـل رخ داده اسـت. ایـن در حالی اسـت که باالی ۰۰۰۱۵ سـرور از ۳۸۱ کشـور جهـان بـرای فـروش روی ایـن پلتفرم قـرار داده شـده بـود. این آمار نشـان میدهد کـه بـر روی ایـن فـروم مدیریت مسـتقیم وجود داشـته اسـت. هنگامـی کـه کاربـران بـرای اسـتفاده از فـروم

ثبـت نـام میکننـد آنها میتوانند بـرای دیدن xDedic لیسـتی از سـرورهای در دسـترس از داشـبورد اسـتفاده کننـد. در ایـن فـروم برای هر سـرور هکشـده، لیسـتی از اطالعات سیسـتم، دسترسـیهای مدیریتی، ران بودن آنتیویـروس بر روی سیسـتم، بروزر، اطالعـات آپتایم، سـرعت آپلـود و دانلـود قابـل دسـترس اسـت. ۲۳ درصد از سـرور هـای هکشـده در مـاه مـه و در کشـورهای برزیـل، چیـن، روسـیه، هنـد و اسـپانیا بـود. دسترسـی از طریـق ریمـوت دسـکتاپ ایـن امـکان را بـه خریـداران مـی دهـد که بتواننـد بهصـورت ریموت به سیسـتمهای در معـرض خطـر دسترسـی داشـته باشـند و همچنیـن بتواننـد بهطـور فزاینـدهای بـه سـرورهای در دسـترس، ماننـد؛ سـرویسهای سـازمانهای مالـی، سیسـتمهای شـرطبندی، فروشـگاههای اینترنتـی، سـایتهای دوسـتیابی، شـبکههای تبلیغاتـی و ... حملـه کننـد. در بعضـی مـوارد خریـداران به دنبـال میزبانی سـرور برخی از نرمافـزار هـای خـاص مثـل حسـابداری، گزارشهای مالیاتـی و نرمافـزار های فـروش بودند و عـالوه بر اینها در پـی نرمافزار ایمیل برای اسـتفاده اسـپم بودند. نرمافزار

(نرمافـزار فـروش) از جمله نرمافزارهای ‪point of sales‬ محبوبـی بـود که محققان کسپرسـکی اشـاره کردند این نرمافـزار در ۳۵۴ سـرور از ۷۶ کشـور در دسـترس قـرار گرفتـه اسـت. محققـان کشـف کردنـد کـه هریـک از پارتنرهـا بـه پرتـال و ابزار آنهـا دسترسـی جداگانه خود را همچنـان دارنـد. همچنیـن محققان اعـالم کردند این پارتنرهـا با اسـتفاده از یکـی ازابزارهای اعتبارسـنجی که

نـام دارد بـرای دسترسـی به سـرورهایی که SysScan در ایـن فرومهـا فروختـه شـده اسـت اسـتفاده میکنند، آنهـا همچنیـن میگویند ایـن ابزار اطالعات سیسـتمی ماننـد سـرعت دانلـود و آپلـود و همچنیـن نرمافزارهـای نصبشـده روی سـرور را گـزارش میدهـد. در یـک دسـتگاهیکـهدرآن پیداشـدهبودمحققان SysScan گـزارش کردند آنهـا ابـزاری ‪(DUBrute and XPC )‬ رایافتنـدکـهبـااسـتفادهازروش 1برای ‪Brute Force‬ رسـیدن به اطالعات سـرور اسـتفاده میکردند. با استفاده از اطالعـات تروجـان ،SCClient کسپرسـکی برای این بدافـزار تلهگذاری کرد تا سـرورهای هکشـده بـا بدافزار مشـابه را شناسـایی کنـد. البراتـوار کسپرسـکی گفت در عرض ۲۱ سـاعت نخسـت ۰۰۶۳ آی.پی آدرس به آنها متصـل شـدند کـه سـازمانهای دولتـی و دانشـگاهها هـم جـزء این آمـار بودنـد و کسپرسـکی مشـتریان خود را از وجـود ایـن بدافـزار آگاه کـرده اسـت. همچنین یک ابـزار دیگـر روی دسـتگاههای بـه خطـر افتاده پیدا شـد کـه پورتهـای مشـخصی را روی سـرورها بـاز میکنـد وآنهـارابـه هایغیرمجازیاپروکسـیهای

SOCKS تبدیـل میکنـد. محققـان گفتنـد، ‪xDedic HTTPS‬ ریموت دسـکتاپ مخصوص خود را سـاخته که مشتریان مجبورنـد اطالعـات الگیـن را در ایـن ریموت دسـکتاپ کپـی کنند. کسپرسـکی در گـزارش خود حـدس میزند تنـوع و قیمـت پایین سـرور های موجود فقـط در خدمت مجرمـان نبوده بلکه باندهای هـم از آن به خوبی

2ATP سـود بردهانـد. ایـن گـزارش میگویـد؛ تعـداد زیـادی ازسـرورهاییکـهدربـازارزیرزمینـی بـرای

xDedic فـروش گذاشتهشـده، جایگزیـن بسـیار مناسـب و ارزانی بـرایگرداننـدگان هایـیاسـتکـهنمیخواهنـد

ATP ردی از خـود باقـی بگذارنـد. ۸ دالر، بـرای هدفـی بـا منظـور دسترسـی بـه تمـام اطالعـات پروفایـل، قیمـت ناچیـز و ارزانـی اسـت. موضوعـی کـه معمـوال نادیـده گرفتـه میشـود ایـن اسـت که؛ سـرورهایی که بـا روش

هـک می شـوند فرصت مناسـبی را برای brute-force گرداننـدگان هـافراهـممیکننـدتـابـدوناینکه

ATP سـوءظنی متوجـه آنهـا شـود کار خـود را انجـام دهنـد.

Newspapers in Persian

Newspapers from Iran

© PressReader. All rights reserved.