Вот уже два года на самом дне интернета расцветает необычный вид черного рынка.
Его краткое, загадочное название, вероятно, мало о чем скажет – xDedic. Между тем, на этой безвестной рыночной площадке любой может приобрести более 70 000 взломанных серверов со всего интернета.
Страница авторизации форума xDedic
От сетей госструктур до корпораций, от веб-серверов до баз данных – xDedic предоставляет рыночную площадку, на которой покупатели могут найти всё, и, что немаловажно, задёшево! Сервер расположен в правительственной сети государства, которое входит в Европейский Союз, а доступ к нему может стоить всего 6 долларов.
Заплатив за доступ один раз, покупатель получает доступ ко всем данным на сервере, а также возможность использовать этот доступ для проведения будущих атак. По сути это мечта хакера: простой, дешёвый и быстрый доступ к жертвам, открывающий новые возможности и для простых киберпреступников, и для тех, кто в киберпреступном мире занимает более серьезное место.
Форум, где продают взломанные серверы
Чтобы исследовать xDedic, «Лаборатория Касперского» договорилась о сотрудничестве с европейским интернет-провайдером. Исследование позволило нам собрать данные о жертвах и о порядке работы рыночной площадки.
В мае 2016 г. мы насчитали на площадке 70 624 серверов, выставленных на продажу, от 416 разных продавцов из 173 стран. В марте 2016 г. было выставлено около 55 000 серверов – очевидно, что база пользователей и серверов аккуратно поддерживается и обновляется.
Страны, где расположены серверы, выставленные на продажу
Интересно, что сами разработчики xDedic ничего не продают. Вместо этого они создали рыночную площадку, где их многочисленные компаньоны могут продавать доступ к взломанным серверам. Очень похоже на то, что команда xDedic создала качественный сервис: на форуме есть даже оперативная техническая поддержка, доступны специальные инструменты, чтобы «патчить» взломанные серверы и разрешить одновременно несколько RDP-сессий, а также инструменты для сбора информации о взломанных серверах и ее загрузки в базу данных xDedic.
TOP-10 продавцов. Май 2016
Так кем же являются указанные выше продавцы на xDedic? Нам удалось идентифицировать характерный фрагмент вредоносного кода (SCCLIENT), используемый одним из продавцов; также нам удалось провести синкхолинг командных серверов этого зловреда. Таким образом мы смогли бегло взглянуть на активность одного из этих действующих лиц – судя по числу жертв, это, скорее всего, Narko, xLeon или sirr.
Троянец SCCLIENT: информация о жертвах за первые 12 часов синкхолинга
Созданная разработчиками xDedic программа для сбора данных о зараженных серверах, кроме прочего, собирает информацию о ПО, установленном на сервере, таких как азартные игры, программы трейдинга и осуществление платежей.
Судя по всему, велик интерес к ПО, связанному с бухучетом, налоговой отчётностью и ПО для PoS-терминалов, которое открывает большие возможности для мошенников:
Инструменты для рассылки спама и осуществления атак | Азартные игры и финансовое ПО | ПО для PoS-терминалов |
Advanced Mass Sender Bitvise Tunnelier DU Brute LexisNexis Spam Soft LexisNexis Proxifier Proxifier Spam Soft |
Full Tilt Poker iPoker Network UltraTax 2010 (2011,..,2015) Abacus Tax Software CCH tax14 (tax15) CCH Small Firm Services ChoicePoint ProSeries TAX (2014,2015) ProSystem fx Tax TAX Software 2015 Tax Praparation Tax Management Inc. Lacerte Tax |
PosWindows BrasilPOS POS AccuPOS POS Active-Charge POS Amigo POS Catapult POS Firefly POS ePOS POS EasiPos POS Revel POS Software (Generic) POS Toast POS QBPOS PosTerminal POS kiosk.exe POS roi.exe POS PTService.exe POS pxpp.exe POS w3wp.exe POS DpsEftX.ocx POS AxUpdatePortal.exe POS callerIdserver.exe POS PURCHASE.exe POS XPS.exe POS XChgrSrv.exe |
Во время исследования мы насчитали 453 сервера из 67 стран, на которых было установлено ПО для PoS-терминалов:
Число выставленных на продажу серверов с ПО для PoS-терминалов. Май 2016 г.
Злоумышленник может, например, прийти на форум xDedic, завести учётную запись, запастись биткойнами и приобрести несколько серверов, на которых установлено ПО для PoS-терминалов. После этого он может установить вредоносную программу для PoS-терминалов – такую как Backoff – чтобы собирать номера банковских карт. Возможности просто безграничные.
«Лаборатория Касперского» сообщила о проблеме соответствующим правоохранительным органам и участвует в текущем расследовании.
Наш полный доклад об xDedic с указаниями индикаторов заражения доступен в PDF-файле по ссылке.
* Для получения более подробной информации о сервисах Security Intelligence «Лаборатории Касперского», специализированных аналитических отчётах и отчётах об угрозах пишите на intelreports@kaspersky.com
xDedic: теневой рынок взломанных серверов
Alexander Klein
Здраствуйте,
спасибо за работу и инфу.
Вы бы не могли предоставить сервис для проверки своего сервера на наличие айпи адреса на этой платформе?
Спасибо
Игорь Оськин
В конце английской версии этой статьи есть ссылка на csv файл с IP.