Россияне нашли в интернете биржу взломанных серверов

Безопасность Администратору Стратегия безопасности Интернет Веб-сервисы
мобильная версия
, Текст: Сергей Попсулин

Более 70 тыс. серверов во всем мире, принадлежащих коммерческим и государственным организациям, могут использоваться хакерами для проведения кибератак и совершения других противоправных действий. Аутентификационные данные для этих серверов продаются на специальной интернет-площадке, обнаруженной исследователями.


Доступ к 70,6 тыс. серверов

«Лаборатория Касперского» обнаружила международную интернет-площадку xDedic.biz, на которой злоумышленники продают доступ к серверам коммерческих и государственных организаций. Стоимость аутентификационных данных для одного сервера начинается от $6.

Площадка появилась в сети ориентировочно в 2014 г., но особой популярностью у злоумышленников она начала пользоваться в середине 2015 г. Сегодня на ней ведут торги более 400 продавцов, которые предлагают доступ к серверам 70,6 тыс. серверам из 173 стран. Причем база пополняется. В марте 2016 г. на продажу были выставлены данные к 55 тыс. серверов.

Значительная доля взломанных серверов находится в России. Впрочем, и за торговой площадкой стоит русскоязычная группировка, предполагают исследователи. В компании отказались уточнить CNews, в каком государстве находится площадка, пояснив, что это может навредить расследованию, которое еще не окончено. 

Помимо России, в числе наиболее пострадавших государств оказались также Бразилия, Китай, Индия, Испания, Италия, Франция, Австралия, ЮАР и Малайзия.

Взлом серверов

Данные на интернет-форум xDedic попадают в результате взлома серверов, как правило, осуществленного путем перебора паролей (брутфорса). Прежде чем выставить аутентификационные данные на продажу, операторы площадки проверяют конфигурацию протоколов, память, программное обеспечение, историю браузера и другие детали — все те особенности, которые будут интересовать покупателей.


Скриншот главной страницы биржи

После приобретения данных хакер (в тот числе начинающий или «продвинутый») может, с помощью хакерских инструментов, запускать с серверов вредоносные кампании, проводить DDoS-атаки, осуществлять кибершпионаж, взламывать устройства посредством фишинга и социальной инженерии, осуществлять спам-рассылки или проводить целенаправленные атаки повышенной сложности. 

При этом на форуме есть оперативная техническая поддержка, доступны специальные инструменты, чтобы «патчить» взломанные серверы и разрешить одновременно несколько RDP-сессий, а также инструменты для сбора информации о взломанных серверах и ее загрузки в базу данных xDedic.

Кому принадлежат серверы

Сегодня на xDedic можно купить доступ к серверам, принадлежащим государственным, коммерческим и образовательным организациям; серверам, на которых могут храниться данные для доступа к ресурсам азартных и онлайн-игр, интернет-магазинам, банковским и платежным системам, веб-сервисам сотовых сетей и интернет-провайдеров. Более того, на xDedic продаются данные для доступа к серверам с предустановленным ПО, облегчающим выполнение атак, например, с прямым доступом к почте, финансовым и POS-программам, рассказали в «Лаборатории Касперского». 

«Сайт xDedic — это очередное подтверждение того, что феномен «киберпреступление как услуга» набирает обороты. Существование коммерческих площадок и выстроенной вокруг них экосистемы позволяет любому желающему быстро развернуть эффективную вредоносную операцию при минимальных затратах», – прокомментировал Костин Райю, руководитель глобального центра исследований и анализа угроз «Лаборатории Касперского».

Законные владельцы серверов при этом зачастую даже не подозревают, что их ИТ-инфраструктура скомпрометирована и используется в киберпреступных операциях. Более того, по окончании вредоносной кампании задействованные в ней серверы вновь могут быть выставлены на продажу – и весь процесс начнется заново, добавили в компании.