近日发现,一个地下市场在公然兜售政府网络和私营企业网络的70600多台中招服务器的信息,这些服务器遍布173个国家,其中包括新加坡、中国、马来西亚和澳大利亚。
据卡巴斯基实验室声称,这些服务器的资料在一个名为xDedic的网络黑市上肆意兜售,每台服务器的资料售价6美元,这个黑市似乎由一个说俄罗斯语的团伙在操控运营。2016年3月份,这家网络安全厂商的研究人员收到欧洲一家互联网服务提供商(ISP)举报这个黑市的消息,于是这两家公司联合起来,调查地下活动。
卡巴斯基实验室全球研究和分析亚太区主管维塔利·卡姆卢克(Vitaly Kamluk)特别指出,虽然这种黑市并不少见,但是这一起发现还是因波及面之广而备受关注,这让xDedic成为如今市面上运营的规模最大的全球性中招服务器市场之一。
他在接受ZDNet的电话采访时表示,虽然xDedic似乎自2014年以来就一直在运营,但这个市场的活动从去年开始加强。卡姆卢克派驻新加坡工作,他是调查xDedic的全球团队的一员。
截至2016年5月份,在xDedic上兜售的中招的远程桌面协议(RDP)服务器有70624台,来自416个不同的卖家,不过它似乎只是充当服务器数据在上面买卖的一个交易平台,与卖家并没有任何关联。
xDedic会核对声称闯入系统的黑客提供的信息。这些数据将对照核对清单进行验证――核对清单包括RDP配置、内存、软件和浏览历史记录,然后拿到市场上兜售。潜在顾客在购买之前可以搜索全部信息。
所有购买包括各种黑客和系统信息工具。
据卡巴斯基声称,这些中招RDP服务器托管流行的消费者网站和服务,或让用户可以访问这些网站或服务,包括游戏、赌博、在线零售商、在线银行及支付以及手机网络。其他服务器包含为直接邮件、财务会计以及销售点(POS)功能提供便利的软件。
这些系统还属于众多政府网络、私营公司以及大学,可能被用来渗入到相关组织的基础设施,或者被劫持、发动网络攻击。
卡姆卢克解释道,其中一些服务器并没有被各大零售商列入黑名单,包括Amazon.com、AirBNB、百思买、电子港湾、苹果商店和沃尔玛,这意味着它们会保持良好的信誉,允许访问此类网站。
老牌零售商对于它允许访问的IP地址有着严格的规定,那样仍然有用的服务器对网络犯罪分子来说很有价值,比如说,他们可以使用系统,通过Amazon.com来买卖商品。
托管中招服务器的国家中就有新加坡
在173个国家当中,中招服务器分布最多的前10个国家是巴西、中国、俄罗斯、印度、西班牙、意大利、法国、澳大利亚、南非和马来西亚。这10个国家在列出来的所有中招RDP服务器中占有49%,巴西最多,占9%,其次是中国,占7%。澳大利亚和马来西亚各占总数的3%。
其余51%的服务器归入到“其他国家”。
卡姆卢克透露,新加坡排名第29位,截至2016年5月份,共有743台中招的服务器在xDedic上挂牌兜售。2015年2月份,来自这个城市国家的第一台中招服务器挂在该市场上,此后更多的服务器登录信息逐渐添加到资料库中。比如2016年4月份,增添了136台新RDP服务器的资料;仅仅上个月,另外82台RDP服务器的资源挂在上面。
被问及任何系统是否来自新加坡政府网络时,他说这很难确定,因为不是所有IP名称都能表明服务器属于哪家组织。他补充道,所列的名称大多数是私营公司和互联网服务供应商(ISP)。
综观全球资料库,确实可以通过IP地址来表明身份的政府网络包括泰国的公共卫生部。
虽然美国或其他主要的欧洲市场并不在主要国家榜单之列让人惊讶,不过卡姆卢克推断,这可能是由于来自这些地方的登录信息更受欢迎,卖給网络犯罪分子后被撤下了。
他表示,另一方面,排名前十的国家可能暴露了更易受攻击的服务器,或者总体上安全政策更薄弱。他补充说,网络犯罪分子购买的RDP信息有可能被放回到市场上进行转售。
卡巴斯基实验室的全球研究和分析团队主管科斯廷·拉尤(Costin Raiu)在报告中说:“xDedic进一步证实,网络犯罪即服务在通过添加商业生态系统和交易平台而不断扩大。正是由于它的存在,每个人更容易以一种省钱、快速、有效的方式,实施破坏性可能极大的攻击,从没多少技能的恶意攻击者,到政府支持的高级持续性攻击(APT),不一而足。
拉尤说:“最终的受害者不仅仅是攻击中被盯上的消费者或企业组织,还有毫无提防的服务器所有者,他们可能完全没有意识到自己的服务器一再被劫持,用于发动不同的攻击。”
卡姆卢克表示,他们已向国际刑警组织通报了xDedic;卡巴斯基已开始通知服务器挂在市场上兜售的企业组织。这家安全厂商还与全球各地的本地计算机应急响应小组(CERT)以及一些执行部门密切联系,尤其是在受影响的企业组织发现并报告泄密事件的国家。
xDedic上最主要的卖家(2016年5月份)
图片来源:卡巴斯基实验室
来源:云头条
聚焦云计算,扫描二维码,关注HostUCan云计算
