Kaspersky Lab araştırmacıları siber suçlulara ait gizliliği ifşa edilmiş sunucuların 6 dolar gibi küçük miktarlarda alınıp satılabildiği global bir forumu inceledi.
xDedic yeni tür siber suçlu pazarların güçlü bir örneği. İyi düzenlenmiş, iyi destekli ve en deneyimsiz siber suçlulardan APT gruplarına kadar herkes için, suç oranını mümkün olduğunca az görünür ve uzun soluklu kılan yasal organizasyon altyapılarına hızlı, ucuz ve kolay erişim sağlıyor.
Avrupalı bir internet hizmeti sağlayıcısı (ISP), Kaspersky Lab’ı xDedic’in varlığı konusunda uyardı ve iki şirket bu forumun nasıl işletildiğini incelemek için birlikte çalıştı. Süreç basit ama kapsamlı. Hacker’lar sunuculara tabiri caizse genellikle kaba kuvvet saldırılarla giriyor ve xDedic’e kimlik bilgileri sağlıyor. Daha sonra, ele geçirilmiş sunucuların Uzak Masaüstü Bağlantı (RDP) kurulumları, hafızaları, yazılımları, arama geçmişleri ve müşterilerin satın almadan önce araştırdıkları tüm özellikler kontrol ediliyor. Bundan sonra da sunucular büyüyen bir online depoya ekleniyor. Bu depo aşağıdakilere erişim sağlıyor:
- Hükümet ağları, şirketler ve üniversitelere ait sunucular
- Online oyun, iddia, flört, online alışveriş, online bankacılık ve ödeme, cep telefonu ağları, internet servis sağlayıcısı (ISP) ve tarayıcılara erişimi olan sunucular
- Direkt mail ve mali ve PoS yazılımını da içeren, önceden yüklenmiş ve saldırıyı mümkün kılabilecek yazılımlara sahip sunucular
- Sistem bilgisi ve hackleme araçları tarafından desteklenen tüm sunucular
xDedic forumu üyeleri sunucu başına 6 dolar gibi küçük bir miktarla bir sunucunun tüm bilgilerine ulaşabiliyor ve daha çok kötü amaçlı saldırı için forumu bir platform olarak kullanabiliyorlar. Bunlar hedeflenmiş saldırılar, kötü amaçlı yazılım, DDoS, kimlik hırsızlığı, sosyal mühendislik ve reklamla desteklenmiş yazılım saldırılarını içerebiliyor.
Sunucuların yasal sahipleri, hükümet bağlantıları içeren saygın kurumlar, şirketler ve üniversiteler genellikle IT altyapılarının ifşa edildiğinin farkında değiller. Dahası, bir kampanya tamamlandığında saldırganlar sunucuya erişimi tekrar satışa çıkararak tüm süreci tekrar başlatabiliyorlar.
xDedic pazarı iş yapmaya 2014 yılında başlamıştı. 2015’in ortasından bu zamana dek ününü önemli oranda arttırdı. 2016’nın Mayıs ayında 173 ülkeden 70,624 adet sunucuya sahipti ve 416 farklı satıcı isminde paylaşım yaptı. xDedic’ten en çok etkilenen 10 ülke Brezilya, Çin, Rusya, Hindistan, İspanya, İtalya, Fransa, Avustralya, Güney Afrika ve Malezya oldu. xDedic’in arkasındaki grubun Rusça konuşan kişiler olduğu düşünülüyor. Grup, yalnızca ticari bir platform sunduğunu ve satıcılarla hiçbir bağlantısının olmadığını iddia ediyor.