حراج اطلاعات 70هزار <سرور>
در طول 2سال گذشته، یک نوع بازار زیرزمینی رونق گرفته که کالاهایی خاص در آن خرید و فروش میشود، شاید باور نکنید ولی کالای این بازار، اطلاعاتی است که هکرها در گوشه و کنار جهان از سرورهای مختلف سرقت میکنند. یکی از کامل ترین نمونههای این بازار سیاه و غیرقانونی، پلتفرمی تجاری به نام xDedic است که مجرمان سایبری میتوانند از طریق اینترنت، اطلاعات بیش از 70هزار سرور هک شده را خریداری کنند.
کمپانی کسپرسکای تلاشی همه جانبه را برای شناسایی عملکرد این پلتفرم و خطرات آن آغاز کرد و در تازه ترین گزارشی که ارائه داده با معرفی این بازار، از آلوده و هک شدن سرورهای متعدد در کشورهای مختلف و فروش اطلاعات آن خبر میدهد که ایران نیز از این قاعده مستثنی نیست و طبق اطلاعات این کمپانی، حداقل 718 سرور ایرانی آلوده، شناسایی شده و اطلاعات آن در این بازار به فروش میرسد.
6دلار برای دسترسی به اطلاعات
کمپانی کسپرسکای با مشارکت یک ISP اروپایی، در قالب گزارشی به جمعآوری اطلاعات درباره قربانیان پلتفرم تجاری xDedic و نوع عملکرد این بازار غیرقانونی و مجرمانه، چگونگی دسترسی مجرمان به سرورها و… پرداخته است. همچنین در این گزارش ابزار و تروجانهای نصب شده در سرورهایی که مورد حمله سایبری قرار گرفتهاند و نیز آمار فروش در این پلتفرم، مورد بحث و بررسی قرار گرفته است.
گفته میشود این پلتفرم که با هدف آسانتر کردن خرید و فروش اطلاعات محرمانه سرورهای هک شده، فعالیت میکند، توسط یک گروه از هکرهای روس زبان اداره میشود و با کمک ابزارهایی ویژه، میتواند زمینه دسترسی و لاگین چند کاربر را به سرورها فراهم کند. از پرتالها و شبکههای دولتی گرفته تا شرکتهای کوچک و بزرگ و سازمانها، میتوانند اطلاعات مورد علاقه خود را روی این پلتفرم مشاهده کرده و تنها با پرداخت بهای اندک 6دلار به ازای هر سرور، به گنجینه عظیم اطلاعات آن دسترسی پیدا کنند.
موضوع جالب دیگر اینکه بازار این پلتفرم با دامنه(domain) به نام biz [.]xdedic در دسترس هرکسی که در آن ثبتنام کند قرار میگیرد و تنها با پرداخت 6دلار میتواند دارای یک اکانت مشخص شده و به یکی از اعضای این مجموعه تبدیل شود. کاربر با ورود به این پلتفرم، صفحهای حاوی فهرست سرورهای موجود برای خرید را پیش روی خود میبیند و برای هر سرور نیز جزئیات اطلاعات همچون قیمت، موقعیت، سرعت و آنتی ویروسهای نصب شده و… درج شده است تا خریدار راحتتر انتخاب کند. البته متقاضی حتماً باید ظرف 72ساعت از اکانت خود استفاده کند وگرنه به طور اتوماتیک حذف میشود مگر اینکه 10دلار دیگر برای حضور در این پلتفرم بپردازد. البته مالکان دامنه biz [.]xdedic که گفته می شود در یکی از کشورهای اروپای شرقی میزبانی می شود، مدعی هستند با فروشندگان سرورهای هک شده، هیچ ارتباط مستقیمی ندارند و تنها یک پلتفرم تجاری امن برای تبلیغات این سرورها فراهم کردهاند.
افزایش محبوبیت پلتفرم xDedic
کسپرسکای در بخش دیگری از گزارش خود آورده است آنالیز اطلاعاتی که در بازار xDedic وجود دارد، نشان میدهد این سرویس احتمالاً در سال 2014 راهاندازی شده و از اواسط سال 2015 میلادی محبوبیت چشمگیری کسب کرده است. به صورتی که در این زمان بیش از 3هزار سرور هک شده، برای فروش گذاشته شده بود و نام تعداد زیادی سرور که مورد دستبرد مجرمان سایبری قرار گرفته است را میتوان در این پلتفرم دید.نمودارهای این گزارش نیز نشان میدهد که از اواسط سال 2016، این پلتفرم و بازار مورد توجه قرار گرفته و هرماه هم بر تعداد اکانتها افزوده شده است.
در گزارش کسپرسکای همچنین آمده است در ماه مارس(فروردین)، آدرس 51هزار و 752 سرور از 183کشور جهان برای فروش در این پلتفرم تجاری وجود داشت که در 11هزار و 50 زیرشبکه(subnet) قرار گرفته بود و البته این تعداد سرور توسط 452گروه فروشنده انحصاری در معرض فروش قرار داده شده بود. از ماه مه(اردیبهشت) سال 2016 نیز میزان دسترسی به سرورهای مختلف در جهان از طریق این پلتفرم، به 70هزار و 624 عدد رسیده که برای فروش آماده هستند و آنالیز این کمپانی نشان میدهد این تعداد سرور توسط 416فروشنده انحصاری در 173کشور آلوده جمعآوری شده و برای فروش در اختیار کاربران متقاضی قرار گرفته است.
حملات بدافزاری و تروجان ها
کمپانی کسپرسکای هنگام آغاز مطالعه، تصور میکرد هکرها از حملات بروت فورس (Brute Force) برای دستیابی به اطلاعات سرورها استفاده میکنند ولی مشخص شد که این مجرمان سایبری از ابزار هک همچون Hacktool.Win32.Bruteforce و نیز تروجانSCClientبهره میگیرند.(بروت فورس نوعی از حملات کرکینگ است که هکر در آن از ابزاری استفاده میکند تا با بررسی همه احتمالات موجود، موفق به یافتن مواردی مانند رمز عبور یک سایت شود.) طبق مطالعات کارشناسان مؤسسه کاسپراسکای، هکرها یک بدافزار در مسیر «/Windows/System32/scclient.exe» قرار میدهند و آن را به گونهای به سیستم معرفی میکنند که هنگام بالا آمدن، به طور اتوماتیک آغاز به کار کند.
این مجرمان سایبری همچنین با نصب نرم افزار mining Bitcoin به دنبال درآمدزایی هستند. همچنین در این گزارش آمده است که تیم xDedic کلاینت مشخص و ویژهای برای ویندوز ایجاد کرده است. همچنین مالکانxDedic، ابزاری را توسعه دادهاند که میتواند به طور اتوماتیک اطلاعات درباره سیستم ازجمله وب سایتها، هر نرم افزاری که بر آن نصب میشود و… را جمعآوری کند. برخی از این نرم افزارها تحت کنترل مجرمان سایبری درآمده و میتوانند با استفاده از آن، اسپم ارسال کرده یا از نرم افزار پروکسی استفاده کنند و بدون اینکه هیچ شکی برانگیزند، هکرها به کار خود ادامه دهند.
برزیل دارای بیشترین سرور هک شده
کسپرسکای همچنین با تفکیک کشورهای مختلف بر اساس تعداد سرورهای آلوده، نموداری ارائه کرده که در آن، 10 کشور دارای بیشترین سرور هک شده، مشخص است. این نمودار نشان میدهد که برزیل در این زمینه پرچمدار است و بالاترین رقم یعنی حدود 9درصد از سرورهای آلوده و هک شده واقع در این پلتفرم تجاری، مربوط به این کشور است. پس از آن، چین با 7درصد کل سرورهای سرقت شده در جایگاه دوم قرار گرفته و میزان سرورهای هک شده در روسیه نیز 6درصد است. آمار سرورهای هک شده هندوستان و اسپانیا که در این پلتفرم قرار گرفته، 5درصد است و پس از آن، ایتالیا و فرانسه با 4درصد در رده بعدی قرار دارند.
همچنین 3درصد از سرورهایی که برای فروش گذاشته شده به کشورهای استرالیا، آفریقای جنوبی و مالزی مربوط میشود و سایر نقاط جهان نیز روی هم رفته51درصد از سرورهای آلوده این پلتفرم را دارند. طبق این گزارش مالزی را می توان از نظر تعداد سرور آلوده در صدر کشورهای آسیای جنوب شرقی دانست.
تمرکز هکرها بر سرورهای مرتبط با تجارت الکترونیک
همچنین گزارش مؤسسه کسپرسکای نشان میدهد که در سال 2016 تمرکزمجرمان سایبری، بیشتر بر فروشگاههای تجاری آنلاین و نیز بانکها و سیستمهای پرداختی بوده است و البته نام برخی شبکههای تبلیغاتی، اپراتورهای تلفن همراه و ISP نیز در میان این سرورها دیده میشود. سرورهای مرتبط با تجارت الکترونیک یا نرم افزارهای حسابداری نیز بخش عمده ای را به خود اختصاص داده اند. برزیل بیشترین میزان سرور به سرقت رفته را در این زمینه دارد و پس از آن به ترتیب روسیه، اسپانیا، بریتانیا، امریکا، هندوستان، اسلوونی، آفریقای جنوبی، آلمان، فرانسه، استرالیا، اوکراین، مکزیک، مالزی، بلژیک، امارات متحده عربی، هلند، ویتنام، توباگو، عربستان سعودی، لهستان قرار دارند.