Рядовые преступники и профессиональные хакеры уже два года имеют в своем распоряжении богатую рыночную площадку, предоставляющую доступ к взломанным серверам, разбросанным по всему миру. Заплатив всего лишь $6, посетитель получает возможность просматривать любые данные на этом ресурсе и купить доступ к скомпрометированной машине для проведения кибератак.

На прошлой неделе «Лаборатория Касперского» опубликовала результаты исследования работы теневого форума xDedic, располагающего четко организованной и хорошо поддерживаемой платформой, оператором которой предположительно является русскоязычная группировка. «Участникам форума доступны специальные инструменты, чтобы «патчить» взломанные серверы и разрешать одновременно несколько RDP-сессий, а также инструменты для установки прокси и сбора информации о взломанных серверах, — пишут исследователи. — Основной целью xDedic является упрощение купли-продажи идентификаторов к взломанным серверам, доступным по RDP».

Исследование проводилось в сотрудничестве с неназванным европейским интернет-провайдером и позволило собрать данные о работе xDedic, предположительно появившегося в Сети в 2014 году. В минувшем мае на этой площадке вели торги 416 продавцов, предлагавших доступ к 70,6 тыс. взломанных серверов, расположенных в 173 странах. В марте на продажу было выставлено около 55 тыс. серверов, а продавцов числилось 425; это означает, что база пользователей и серверов на форуме исправно поддерживается и обновляется.

Зарегистрированным пользователям xdedic[.]biz предоставляется доступ к административной панели, из которой можно просмотреть список доступных серверов. Для каждого сервера указаны системная информация, наличие прав администратора, установленный антивирус, используемые браузеры, период работоспособного состояния, скорость скачивания и отдачи, стоимость и местоположение. По состоянию на май 32% серверов, предлагаемых на xDedic, были прописаны в Бразилии, Китае, России, Индии и Испании.

RDP обеспечивает покупателям удаленный доступ к скомпрометированным системам и возможность проводить множественные атаки на доступные серверы финансовых организаций, онлайн-казино, интернет-магазинов, сайтов знакомств, рекламных сетей и т.д. Некоторые покупатели интересуются установленным на серверах специфическим ПО — связанным с бухучетом, налоговой отчетностью, PoS-сетями, а также софтом для массовых email-рассылок. Особенно велик спрос на возможность доступа к PoS-терминалам; за время исследования эксперты насчитали на xDedic 453 сервера из 67 стран, на которых было установлено такое ПО.

Компаньонам владельцев торговой площадки предоставляются отдельный портал и инструменты, среди которых стоит упомянуть SysScan — валидатор, используемый для создания профиля серверов, выставляемых на продажу. По свидетельству «Лаборатории», это инструментальное средство в основном собирает и загружает на C&C-сервер системную информацию, рабочие характеристики сервера и данные об установленном программном обеспечении.

На одной из машин с SysScan исследователи также обнаружили инструменты (DUBrute и XPC) для взлома серверов брутфорсом. После компрометации на сервер устанавливается вредоносная программа SCCLIENT, управляемая с командного сервера. «Лаборантам» удалось подменить пять из восьми C&C этого троянца по методу sinkholing. За 12 часов они насчитали 3,6 тыс. уникальных IP-адресов, пытавшихся установить соединение; некоторые из них закреплены за госструктурами и образовательными учреждениями.

Еще один инструмент, найденный на скомпрометированных машинах, открывает определенные порты на сервере, превращая его в неаутентифицированный SOCKS- или HTTPS-прокси. По свидетельству исследователей, владельцы xDedic также создали собственный RDP-клиент для Windows, который участники форума используют для копирования регистрационных данных при установке соединения.

В «Лаборатории» полагают, что большое разнообразие предлагаемого на xDedic «товара» и его дешевизна способны привлечь не только заурядных хакеров, но также участников APT-групп. «Огромное количество серверов, выставленных на продажу на рыночной площадке xDedic, является привлекательной альтернативой для APT-злоумышленников, которые ограничены в ресурсах, стремятся держаться в тени или просто никак не могут закрепиться у своей жертвы, — пишут эксперты в отчете. — $8 — очень небольшая плата за полный доступ к потенциально важным ресурсам. Взлом перебором паролей обычно остается незамеченным, и такой сервер может оказаться для APT-группы шансом на успех, не вызывающим подозрений».

Категории: Аналитика, Главное, Хакеры