多個(gè)國(guó)家的70620臺(tái)使用遠(yuǎn)程桌面協(xié)議(RDP)的服務(wù)器在xDedic地下市場(chǎng)上赫然在列,包括政府網(wǎng)絡(luò)和私營(yíng)企業(yè)網(wǎng)絡(luò)的系統(tǒng),這些國(guó)家當(dāng)中就有新加坡、中國(guó)和馬來西亞。
近日發(fā)現(xiàn),一個(gè)地下市場(chǎng)在公然兜售政府網(wǎng)絡(luò)和私營(yíng)企業(yè)網(wǎng)絡(luò)的70600多臺(tái)中招服務(wù)器的信息,這些服務(wù)器遍布173個(gè)國(guó)家,其中包括新加坡、中國(guó)、馬來西亞和澳大利亞。
據(jù)卡巴斯基實(shí)驗(yàn)室聲稱,這些服務(wù)器的資料在一個(gè)名為xDedic的網(wǎng)絡(luò)黑市上肆意兜售,每臺(tái)服務(wù)器的資料售價(jià)6美元,這個(gè)黑市似乎由一個(gè)說俄羅斯語(yǔ)的團(tuán)伙在操控運(yùn)營(yíng)。2016年3月份,這家網(wǎng)絡(luò)安全廠商的研究人員收到歐洲一家互聯(lián)網(wǎng)服務(wù)提供商(ISP)舉報(bào)這個(gè)黑市的消息,于是這兩家公司聯(lián)合起來,調(diào)查地下活動(dòng)。
卡巴斯基實(shí)驗(yàn)室全球研究和分析亞太區(qū)主管維塔利·卡姆盧克(Vitaly Kamluk)特別指出,雖然這種黑市并不少見,但是這一起發(fā)現(xiàn)還是因波及面之廣而備受關(guān)注,這讓xDedic成為如今市面上運(yùn)營(yíng)的規(guī)模最大的全球性中招服務(wù)器市場(chǎng)之一。
他在接受ZDNet的電話采訪時(shí)表示,雖然xDedic似乎自2014年以來就一直在運(yùn)營(yíng),但這個(gè)市場(chǎng)的活動(dòng)從去年開始加強(qiáng)?繁R克派駐新加坡工作,他是調(diào)查xDedic的全球團(tuán)隊(duì)的一員。
截至2016年5月份,在xDedic上兜售的中招的遠(yuǎn)程桌面協(xié)議(RDP)服務(wù)器有70624臺(tái),來自416個(gè)不同的賣家,不過它似乎只是充當(dāng)服務(wù)器數(shù)據(jù)在上面買賣的一個(gè)交易平臺(tái),與賣家并沒有任何關(guān)聯(lián)。
xDedic會(huì)核對(duì)聲稱闖入系統(tǒng)的黑客提供的信息。這些數(shù)據(jù)將對(duì)照核對(duì)清單進(jìn)行驗(yàn)證――核對(duì)清單包括RDP配置、內(nèi)存、軟件和瀏覽歷史記錄,然后拿到市場(chǎng)上兜售。潛在顧客在購(gòu)買之前可以搜索全部信息。
所有購(gòu)買包括各種黑客和系統(tǒng)信息工具。
據(jù)卡巴斯基聲稱,這些中招RDP服務(wù)器托管流行的消費(fèi)者網(wǎng)站和服務(wù),或讓用戶可以訪問這些網(wǎng)站或服務(wù),包括游戲、賭博、在線零售商、在線銀行及支付以及手機(jī)網(wǎng)絡(luò)。其他服務(wù)器包含為直接郵件、財(cái)務(wù)會(huì)計(jì)以及銷售點(diǎn)(POS)功能提供便利的軟件。
這些系統(tǒng)還屬于眾多政府網(wǎng)絡(luò)、私營(yíng)公司以及大學(xué),可能被用來滲入到相關(guān)組織的基礎(chǔ)設(shè)施,或者被劫持、發(fā)動(dòng)網(wǎng)絡(luò)攻擊。
卡姆盧克解釋道,其中一些服務(wù)器并沒有被各大零售商列入黑名單,包括Amazon.com、AirBNB、百思買、電子港灣、蘋果商店和沃爾瑪,這意味著它們會(huì)保持良好的信譽(yù),允許訪問此類網(wǎng)站。
老牌零售商對(duì)于它允許訪問的IP地址有著嚴(yán)格的規(guī)定,那樣仍然有用的服務(wù)器對(duì)網(wǎng)絡(luò)犯罪分子來說很有價(jià)值,比如說,他們可以使用系統(tǒng),通過Amazon.com來買賣商品。
托管中招服務(wù)器的國(guó)家中就有新加坡
在173個(gè)國(guó)家當(dāng)中,中招服務(wù)器分布最多的前10個(gè)國(guó)家是巴西、中國(guó)、俄羅斯、印度、西班牙、意大利、法國(guó)、澳大利亞、南非和馬來西亞。這10個(gè)國(guó)家在列出來的所有中招RDP服務(wù)器中占有49%,巴西最多,占9%,其次是中國(guó),占7%。澳大利亞和馬來西亞各占總數(shù)的3%。
其余51%的服務(wù)器歸入到“其他國(guó)家”。
卡姆盧克透露,新加坡排名第29位,截至2016年5月份,共有743臺(tái)中招的服務(wù)器在xDedic上掛牌兜售。2015年2月份,來自這個(gè)城市國(guó)家的第一臺(tái)中招服務(wù)器掛在該市場(chǎng)上,此后更多的服務(wù)器登錄信息逐漸添加到資料庫(kù)中。比如2016年4月份,增添了136臺(tái)新RDP服務(wù)器的資料;僅僅上個(gè)月,另外82臺(tái)RDP服務(wù)器的資源掛在上面。
被問及任何系統(tǒng)是否來自新加坡政府網(wǎng)絡(luò)時(shí),他說這很難確定,因?yàn)椴皇撬蠭P名稱都能表明服務(wù)器屬于哪家組織。他補(bǔ)充道,所列的名稱大多數(shù)是私營(yíng)公司和互聯(lián)網(wǎng)服務(wù)供應(yīng)商(ISP)。
綜觀全球資料庫(kù),確實(shí)可以通過IP地址來表明身份的政府網(wǎng)絡(luò)包括泰國(guó)的公共衛(wèi)生部。
雖然美國(guó)或其他主要的歐洲市場(chǎng)并不在主要國(guó)家榜單之列讓人驚訝,不過卡姆盧克推斷,這可能是由于來自這些地方的登錄信息更受歡迎,賣給網(wǎng)絡(luò)犯罪分子后被撤下了。
他表示,另一方面,排名前十的國(guó)家可能暴露了更易受攻擊的服務(wù)器,或者總體上安全政策更薄弱。他補(bǔ)充說,網(wǎng)絡(luò)犯罪分子購(gòu)買的RDP信息有可能被放回到市場(chǎng)上進(jìn)行轉(zhuǎn)售。
卡巴斯基實(shí)驗(yàn)室的全球研究和分析團(tuán)隊(duì)主管科斯廷·拉尤(Costin Raiu)在報(bào)告中說:“xDedic進(jìn)一步證實(shí),網(wǎng)絡(luò)犯罪即服務(wù)在通過添加商業(yè)生態(tài)系統(tǒng)和交易平臺(tái)而不斷擴(kuò)大。正是由于它的存在,每個(gè)人更容易以一種省錢、快速、有效的方式,實(shí)施破壞性可能極大的攻擊,從沒多少技能的惡意攻擊者,到政府支持的高級(jí)持續(xù)性攻擊(APT),不一而足。
拉尤說:“最終的受害者不僅僅是攻擊中被盯上的消費(fèi)者或企業(yè)組織,還有毫無提防的服務(wù)器所有者,他們可能完全沒有意識(shí)到自己的服務(wù)器一再被劫持,用于發(fā)動(dòng)不同的攻擊!
卡姆盧克表示,他們已向國(guó)際刑警組織通報(bào)了xDedic;卡巴斯基已開始通知服務(wù)器掛在市場(chǎng)上兜售的企業(yè)組織。這家安全廠商還與全球各地的本地計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT)以及一些執(zhí)行部門密切聯(lián)系,尤其是在受影響的企業(yè)組織發(fā)現(xiàn)并報(bào)告泄密事件的國(guó)家。
xDedic上最主要的賣家(2016年5月份)