Подпольный рынок взломанных серверов — находка незаурядная даже для такого видавшего виды исследователя, как Хуан Герреро-Сааде (Juan Andres Guerrero-Saade) из «Лаборатории Касперского». Тем не менее факт остается фактом: xDedic[.]biz продает доступ к десяткам тысяч серверов буквально за гроши.

«Это очень необычный рынок, подтверждающий новый феномен в стратифицированной экосистеме киберпреступности: пробелы в арсенале злоумышленников стали восполняться как услуга, — комментирует Герреро-Сааде. — Такой веб-сервис позволяет ускорить и удешевить проведение атак, хорошо обеспеченных ресурсами, так как злоумышленникам уже не нужно приобретать или взламывать серверы». Владельцы xDedic позиционируют его как посредника между партнерами, взимающего в качестве комиссионных процент от сделки.

Отчет «Лаборатории Касперского» об исследовании деятельности форума xDedic был опубликован в минувшую среду. По словам Герреро-Сааде, эта теневая площадка, созданная русскоязычными разработчиками, позволяет продавцам взломанных серверов найти своих покупателей, которым также предоставляются инструменты для связи с арендованными серверами и закрепления доступа. «Так, например, один из таких инструментов меняет настройки RDP на сервере, чтобы разрешить параллельные сессии; в итоге при осуществлении входа законный администратор сервера не заметит, что кто-то еще подключился одновременно с ним», — поясняет эксперт.

Список серверов, выставленных на продажу, позволяет проводить атаки против финансовых институтов, игорных сервисов и сайтов знакомств, интернет-магазинов и рекламных сетей. «Поскольку личности продавцов скрыты псевдонимами, мы не можем с уверенностью утверждать, что операторы форума сами занимаются взломом серверов, предлагаемых к продаже», — отметил также Герреро-Сааде.

«Несмотря на заявления об обратном, трудно представить себе, что форум xDedic предназначен для чего-то еще, кроме пособничества криминалу, — продолжает собеседник Threatpost. — Это все равно как если бы слесарь продавал копии ключей от дома заказчика и уверял всех, что не имеет в виду их преступное использование, хотя на самом деле единственная цель таких действий — обеспечить третьей стороне незаконный доступ к жилищу без ведома его владельца».

Взломанные серверы, предлагаемые на xDedic, представляют ценность не только для обычных хакеров, но также для APT-групп, так как их можно использовать как плацдарм для дальнейшего проникновения, как хранилище краденых данных или центр управления операциями.

«Поддержка таких серверов в пригодном для эксплуатации состоянии требует определенных усилий, что иногда позволяет исследователям установить личности атакующих, так как операторы зачастую допускают катастрофические ошибки, — констатирует Герреро-Сааде. — Возможность приобретения таких серверов из третьих рук, обеспечивающих доступ, снижает расходы по взлому и техобслуживанию для злоумышленников, а также обеспечивает маскировку, препятствующую идентификации и отождествлению с другими киберкампаниями. Такие услуги могут вызвать большой интерес».

Кроме того, в данном случае большую роль в принятии положительного решения может сыграть дешевизна: доступ к взломанному серверу стоит менее $10 — настоящий подарок для хакера средней руки. «Конечно, гарантии нет, что этот доступ будет долговременным, — оговаривается Герреро-Сааде. — Администратор может сменить регистрационные данные, очистить сервер или просто отключить его, и клиент [xDedic] потеряет доступ. Тем не менее наблюдаемый рост показателей свидетельствует о популярности форума xDedic и расширении его сообщества, о сохранении которого пекутся не только администраторы, но и продавцы. Судя по успеху данного предприятия, оно вряд ли останется единственным в своем роде».

Категории: Хакеры