Как с удовлетворением сообщает «Лаборатория Касперского», после публикации результатов расследования деятельности теневой рыночной площадки xDedic ее сайт быстро выпал из онлайн-доступа — дружными стараниями нескольких крупных интернет-провайдеров. Однако через день после появления отчета эта история получила неожиданное продолжение: в блоге «Лаборатории» появился анонимный комментарий, снабженный «подарком» исследователям — ссылками на списки взломанных серверов, выложенные на популярном ресурсе Pastebin.

Эксперты не преминули отметить, что обычно они скептически относятся к неведомым ссылкам, публикуемым в комментариях, однако проверка показала, что списки, указанные анонимом, использующим ник AngryBirds и литовский IP-адрес, действительно могут иметь отношение к xDedic. Один из этих дампов содержал около 19 тыс. записей, состоящих из IP-адреса и даты. Самая ранняя дата, по свидетельству исследователей, была близка к тому времени, когда на xDedic появились первые предложения (согласно записям Глобального исследовательского центра «Лаборатории», первый сервер был выставлен на продажу в ноябре 2014 года).

Тем не менее, прежде чем воспользоваться этими списками, «лаборанты» решили удостовериться в их подлинности. После объединения дампов Pastebin получился внушительный перечень из 176 тыс. уникальных записей, охватывающих период с октября 2014 года по февраль 2016 года. Однако для подтверждения связи исследователям не хватало данных: на xDedic обычно указываются не полные IP, а лишь первые два октета. Подмена серверов (sinkholing) бэкдора SSCLIENT, используемого одним из продавцов, позволила полностью раскрыть некоторые IP, но эти серверы — лишь небольшая часть предложений на этом рынке. Кроме того, полученные благодаря sinkhole данные датированы последними числами марта или более свежие, а самая поздняя дата, указанная в дампах Pastebin, — конец февраля 2016 года.

Тем не менее исследователи решили сделать все возможное для оценки слитых данных и с этой целью прежде всего сопоставили их с информацией, доступной на xDedic. Как оказалось, оба набора данных показывают схожие флуктуации ежемесячных объемов «товара». Более того, поскольку некоторые серверы повторно выставляются на продажу, при сравнении Pastebin-контента и данных, полученных несколько позже путем sinkholing, удалось обнаружить 1303 уникальных IP, присутствующих в обоих списках.

«Лаборанты» также проверили, сколько IP-адресов, слитых на Pastebin, ассоциируются с серверами RDP. Простейший скан на наличие открытых RDP-портов показал, что на 41% IP из сводного списка работает RDP-служба (порты с 3300 по 3400, чаще всего на стандартном порту 3389).

Наконец, были сопоставлены подсети из списков Pastebin и xDedic — по первым двум октетам. Результат оказался ошеломительным: 8718 против 8721 соответственно. Три IP-адреса, не указанные в Pastebin-публикациях, были добавлены на xDedic 29 февраля, то есть попросту не успели попасть в дампы.

Исследователи систематизировали IP-адреса с Pastebin по географической принадлежности и получили несколько иную картину, отличную от прежней. В новом списке жертв лидируют США (свыше 60 тыс. взломанных серверов) и Великобритания (более 8,8 тыс.). Бразилия отодвинулась на третье место (8,77 тыс.), за ней в убывающем порядке следуют Канада, Франция, Испания и Австралия. Россия спустилась с третьей строчки на восьмую (5608), а замыкают ведущую десятку Италия и Германия. Расхождение эксперты объясняют тем, что их собственный список был составлен на основе предложений на xDedic, тогда как источник с Pastebin мог иметь доступ также к спискам уже купленных серверов; в таком случае его информация точнее отражает общую картину компрометации в рамках сервиса xDedic.

Поскольку и исследование ИБ-компании, и данные о взломах, раздобытые анонимом с Pastebin, стали достоянием общественности, эксперты разослали в национальные CERT объединенный список IP-адресов с геопривязкой. В своей блог-записи «лаборанты» выразили благодарность AngryBirds за предоставление столь интересных данных, но с оговоркой: широкое оглашение подобной информации играет на руку потенциальным преступникам и ставит в неловкое положение администраторов, которые уже справились с проблемой.

Категории: Аналитика, Главное, Хакеры