Kaspersky Lab araştırmacıları siber suçlulara ait gizliliği ifşa edilmiş sunucuların 6 dolar gibi küçük miktarlarda alınıp satılabildiği global bir forumu inceledi. Rusça konuşan bir grup tarafından işletildiği düşünülen, xDedic pazarında şu an ele geçirilmiş 70,624 adet Uzak Masaüstü Bağlantısı (RDP) bulunuyor. Sunucuların çoğu popüler sitelere erişim sağlıyor veya onları işletiyor, Bazıları da direkt mail, mali muhasebe ve POS işlemleri için yüklenmiş yazılımları içeriyor. Kullanıcıların altyapılarını hedeflemek için kullanılabildikleri gibi, daha geniş çapta saldırılar için araç olarak kullanılabiliyorlar. Hükümet kurumları, şirketler ve üniversitelerin de dahil olduğu kullanıcılar ise genelde saldırıdan bihaber durumdalar, veya konuyla ilgili çok az fikirleri var.
xDedic yeni tür siber suçlu pazarların güçlü bir örneği. İyi düzenlenmiş, iyi destekli ve en deneyimsiz siber suçlulardan APT gruplarına kadar herkes için, suç oranını mümkün olduğunca az görünür ve uzun soluklu kılan yasal organizasyon altyapılarına hızlı, ucuz ve kolay erişim sağlıyor.
Avrupalı bir internet hizmeti sağlayıcısı (ISP), Kaspersky Lab’ı xDedic’in varlığı konusunda uyardı ve iki şirket bu forumun nasıl işletildiğini incelemek için birlikte çalıştı. Süreç basit ama kapsamlı. Hacker’lar sunuculara tabiri caizse genellikle kaba kuvvet saldırılarla giriyor ve xDedic’e kimlik bilgileri sağlıyor. Daha sonra, ele geçirilmiş sunucuların Uzak Masaüstü Bağlantı (RDP) kurulumları, hafızaları, yazılımları, arama geçmişleri ve müşterilerin satın almadan önce araştırdıkları tüm özellikler kontrol ediliyor. Bundan sonra da sunucular büyüyen bir online depoya ekleniyor. Bu depo aşağıdakilere erişim sağlıyor:
- Hükümet ağları, şirketler ve üniversitelere ait sunucular
- Online oyun, iddia, flört, online alışveriş, online bankacılık ve ödeme, cep telefonu ağları, internet servis sağlayıcısı (ISP) ve tarayıcılara erişimi olan sunucular
- Direkt mail ve mali ve PoS yazılımını da içeren, önceden yüklenmiş ve saldırıyı mümkün kılabilecek yazılımlara sahip sunucular
- Sistem bilgisi ve hackleme araçları tarafından desteklenen tüm sunucular
xDedic forumu üyeleri sunucu başına 6 dolar gibi küçük bir miktarla bir sunucunun tüm bilgilerine ulaşabiliyor ve daha çok kötü amaçlı saldırı için forumu bir platform olarak kullanabiliyorlar. Bunlar hedeflenmiş saldırılar, kötü amaçlı yazılım, DDoS, kimlik hırsızlığı, sosyal mühendislik ve reklamla desteklenmiş yazılım saldırılarını içerebiliyor.
Sunucuların yasal sahipleri, hükümet bağlantıları içeren saygın kurumlar, şirketler ve üniversiteler genellikle IT altyapılarının ifşa edildiğinin farkında değiller. Dahası, bir kampanya tamamlandığında saldırganlar sunucuya erişimi tekrar satışa çıkararak tüm süreci tekrar başlatabiliyorlar.
xDedic pazarı iş yapmaya 2014 yılında başlamıştı. 2015’in ortasından bu zamana dek ününü önemli oranda arttırdı. 2016’nın Mayıs ayında 173 ülkeden 70,624 adet sunucuya sahipti ve 416 farklı satıcı isminde paylaşım yaptı. xDedic’ten en çok etkilenen 10 ülke Brezilya, Çin, Rusya, Hindistan, İspanya, İtalya, Fransa, Avustralya, Güney Afrika ve Malezya oldu. xDedic’in arkasındaki grubun Rusça konuşan kişiler olduğu düşünülüyor. Grup, yalnızca ticari bir platform sunduğunu ve satıcılarla hiçbir bağlantısının olmadığını iddia ediyor.
Kaspersky Lab Global Araştırma ve Analiz Takımı Direktörü Costin Raiu, “xDedic, bir hizmet olarak siber suçların ticari ekosistemler ve platformların da eklenmesiyle etki alanını genişlettiğinin önemli bir kanıtıdır. Varlığı; hızlı, ucuz ve etkili bir şekilde, sonuçları oldukça kötü olabilecek saldırılarda bulunmayı, acemi saldırganlardan devlet destekli APT’lere kadar herkes için hiç olmadığı kadar, kolaylaştırıyor. Yalnızca tüketiciler ve hedeflenen kurumlar değil; aynı zamanda hiçbir şeyden şüphe duymayan sunucu sahipleri de kurbanlar arasında. Burunlarının dibindeki sunucuların, farklı saldırılarda defalarca ele geçirildiğinin hiçbir şekilde farkında değiller,” dedi.
Kaspersky Lab’ın kurumlara önerisi ise şöyle:
• IT altyapı güvenliğine kapsamlı ve çok katmanlı bir yaklaşımın parçası olarak dirençli bir güvenlik çözümü yükleyin
• Sunucu kimlik doğrulama sürecinin bir parçası olarak güçlü şifreler edinin
• Yama yönetimi sürecinizi sürekli hale getirin
• IT altyapısını düzenli olarak güvenlik denetiminden geçirin
• Kurumunuzu yükselen tehditler konusunda bilgilendirecek ve suçluların bakış açısından örneklerle kurumdaki kişilerin risk seviyelerini anlamalarına yardımcı olacak tehdit istihbarat servisleri edinmeyi seçenekleriniz arasına koyun.