多個國家的70620臺使用遠程桌面協(xié)議(RDP)的服務(wù)器在xDedic地下市場上赫然在列,包括政府網(wǎng)絡(luò)和私營企業(yè)網(wǎng)絡(luò)的系統(tǒng),這些國家當(dāng)中就有新加坡、中國和馬來西亞。
近日發(fā)現(xiàn),一個地下市場在公然兜售政府網(wǎng)絡(luò)和私營企業(yè)網(wǎng)絡(luò)的70600多臺中招服務(wù)器的信息,這些服務(wù)器遍布173個國家,其中包括新加坡、中國、馬來西亞和澳大利亞。
據(jù)卡巴斯基實驗室聲稱,這些服務(wù)器的資料在一個名為xDedic的網(wǎng)絡(luò)黑市上肆意兜售,每臺服務(wù)器的資料售價6美元,這個黑市似乎由一個說俄羅斯語的團伙在操控運營。2016年3月份,這家網(wǎng)絡(luò)安全廠商的研究人員收到歐洲一家互聯(lián)網(wǎng)服務(wù)提供商(ISP)舉報這個黑市的消息,于是這兩家公司聯(lián)合起來,調(diào)查地下活動。
卡巴斯基實驗室全球研究和分析亞太區(qū)主管維塔利·卡姆盧克(Vitaly Kamluk)特別指出,雖然這種黑市并不少見,但是這一起發(fā)現(xiàn)還是因波及面之廣而備受關(guān)注,這讓xDedic成為如今市面上運營的規(guī)模最大的全球性中招服務(wù)器市場之一。
他在接受ZDNet的電話采訪時表示,雖然xDedic似乎自2014年以來就一直在運營,但這個市場的活動從去年開始加強?繁R克派駐新加坡工作,他是調(diào)查xDedic的全球團隊的一員。
截至2016年5月份,在xDedic上兜售的中招的遠程桌面協(xié)議(RDP)服務(wù)器有70624臺,來自416個不同的賣家,不過它似乎只是充當(dāng)服務(wù)器數(shù)據(jù)在上面買賣的一個交易平臺,與賣家并沒有任何關(guān)聯(lián)。
xDedic會核對聲稱闖入系統(tǒng)的黑客提供的信息。這些數(shù)據(jù)將對照核對清單進行驗證――核對清單包括RDP配置、內(nèi)存、軟件和瀏覽歷史記錄,然后拿到市場上兜售。潛在顧客在購買之前可以搜索全部信息。
所有購買包括各種黑客和系統(tǒng)信息工具。
據(jù)卡巴斯基聲稱,這些中招RDP服務(wù)器托管流行的消費者網(wǎng)站和服務(wù),或讓用戶可以訪問這些網(wǎng)站或服務(wù),包括游戲、賭博、在線零售商、在線銀行及支付以及手機網(wǎng)絡(luò)。其他服務(wù)器包含為直接郵件、財務(wù)會計以及銷售點(POS)功能提供便利的軟件。
這些系統(tǒng)還屬于眾多政府網(wǎng)絡(luò)、私營公司以及大學(xué),可能被用來滲入到相關(guān)組織的基礎(chǔ)設(shè)施,或者被劫持、發(fā)動網(wǎng)絡(luò)攻擊。
卡姆盧克解釋道,其中一些服務(wù)器并沒有被各大零售商列入黑名單,包括Amazon.com、AirBNB、百思買、電子港灣、蘋果商店和沃爾瑪,這意味著它們會保持良好的信譽,允許訪問此類網(wǎng)站。
老牌零售商對于它允許訪問的IP地址有著嚴格的規(guī)定,那樣仍然有用的服務(wù)器對網(wǎng)絡(luò)犯罪分子來說很有價值,比如說,他們可以使用系統(tǒng),通過Amazon.com來買賣商品。
托管中招服務(wù)器的國家中就有新加坡
在173個國家當(dāng)中,中招服務(wù)器分布最多的前10個國家是巴西、中國、俄羅斯、印度、西班牙、意大利、法國、澳大利亞、南非和馬來西亞。這10個國家在列出來的所有中招RDP服務(wù)器中占有49%,巴西最多,占9%,其次是中國,占7%。澳大利亞和馬來西亞各占總數(shù)的3%。
其余51%的服務(wù)器歸入到“其他國家”。
卡姆盧克透露,新加坡排名第29位,截至2016年5月份,共有743臺中招的服務(wù)器在xDedic上掛牌兜售。2015年2月份,來自這個城市國家的第一臺中招服務(wù)器掛在該市場上,此后更多的服務(wù)器登錄信息逐漸添加到資料庫中。比如2016年4月份,增添了136臺新RDP服務(wù)器的資料;僅僅上個月,另外82臺RDP服務(wù)器的資源掛在上面。
被問及任何系統(tǒng)是否來自新加坡政府網(wǎng)絡(luò)時,他說這很難確定,因為不是所有IP名稱都能表明服務(wù)器屬于哪家組織。他補充道,所列的名稱大多數(shù)是私營公司和互聯(lián)網(wǎng)服務(wù)供應(yīng)商(ISP)。
綜觀全球資料庫,確實可以通過IP地址來表明身份的政府網(wǎng)絡(luò)包括泰國的公共衛(wèi)生部。
雖然美國或其他主要的歐洲市場并不在主要國家榜單之列讓人驚訝,不過卡姆盧克推斷,這可能是由于來自這些地方的登錄信息更受歡迎,賣給網(wǎng)絡(luò)犯罪分子后被撤下了。
他表示,另一方面,排名前十的國家可能暴露了更易受攻擊的服務(wù)器,或者總體上安全政策更薄弱。他補充說,網(wǎng)絡(luò)犯罪分子購買的RDP信息有可能被放回到市場上進行轉(zhuǎn)售。
卡巴斯基實驗室的全球研究和分析團隊主管科斯廷·拉尤(Costin Raiu)在報告中說:“xDedic進一步證實,網(wǎng)絡(luò)犯罪即服務(wù)在通過添加商業(yè)生態(tài)系統(tǒng)和交易平臺而不斷擴大。正是由于它的存在,每個人更容易以一種省錢、快速、有效的方式,實施破壞性可能極大的攻擊,從沒多少技能的惡意攻擊者,到政府支持的高級持續(xù)性攻擊(APT),不一而足。
拉尤說:“最終的受害者不僅僅是攻擊中被盯上的消費者或企業(yè)組織,還有毫無提防的服務(wù)器所有者,他們可能完全沒有意識到自己的服務(wù)器一再被劫持,用于發(fā)動不同的攻擊!
卡姆盧克表示,他們已向國際刑警組織通報了xDedic;卡巴斯基已開始通知服務(wù)器掛在市場上兜售的企業(yè)組織。這家安全廠商還與全球各地的本地計算機應(yīng)急響應(yīng)小組(CERT)以及一些執(zhí)行部門密切聯(lián)系,尤其是在受影響的企業(yè)組織發(fā)現(xiàn)并報告泄密事件的國家。
xDedic上最主要的賣家(2016年5月份)