Эксперты «Лаборатории Касперского» недавно выявили криминальную торговую платформу xDedic. Ее основное назначение — способствовать покупке и продаже доступа более чем к 70 тыс. взломанных серверов по всему миру. Доступ осуществляется через протокол удаленного доступа RDP (Remote Desktop Protocol). Сети правительственных организаций или крупных корпораций, взломанные машины в разных странах и механизм поиска: на xDedic можно найти почти все, что угодно, и лишь по цене $8 за сервер.
Отправная точка для целевых атак
Значительная часть серверов, выставленных на продажу на xDedic, представляют собой весьма привлекательное предложение для операторов целевых атак, ограниченных в ресурсах, стремящихся к скрытности или испытывающих трудности с первичным внедрением в инфраструктуру потенциальной жертвы. $8 — это очень небольшая цена за полный доступ к крупным целям. После однократной выплаты «клиент» получает доступ ко всем данным на сервере, а также бесчисленное множество возможностей, в том числе вариант использования сервера для запуска дальнейших атак.
Статистика этого «черного рынка» показывает значительное количество серверов, выставленных на продажу, в самых разных уголках света. Система маркирования позволяет киберпреступникам легко отыскивать новые цели, соответствующие их текущим интересам. Владельцы домена xdedic[.]biz утверждают, что никак не связаны с продавцами доступа к взломанным серверам, а просто предоставляют надежную торговую площадку третьим лицам.
Форма приобретения серверов
«Партнерская» программа как шаг к услугам по организации APT
В рамках форума xDedic существует отдельный портал (partner[.]xdedic[.]biz) для так называемых «партнеров». По сути, это и есть те самые продавцы, выставляющие на торги доступ к взломанным серверам. Для них владельцы xDedic разработали инструмент, который автоматически собирает информацию о системе, включая сведения о веб-сайтах, размещенных на данном сервере, установленном на нем ПО и так далее. Команда xDedic предоставляет и другие инструменты «партнерам»: патч для RDP-серверов с поддержкой множественных логинов для одного и того же пользователя, прокси-инсталляторы и т.д.
Существование «теневых» форумов для киберпреступников — далеко не новость. Однако интересно наблюдать, как фокус киберкриминала сместился за последние несколько лет. Сегодня администраторы таких форумов, как xDedic, достигли высокой степени специализации. Эту успешную модель легко скопировать, и мы ожидаем появления новых специализированных «рынков» подобного рода, где целевые атаки будут предоставляться в качестве услуг (по модели as-a-service).
Подробное исследование деятельности xDedic и связанной с ним группы опубликовано здесь.
Как не стать жертвой «партнеров» xDedic
«Лаборатория Касперского» предлагает несколько путей защиты от деятельности xDedic. С помощью Kaspersky Security Network мы смогли вычислить ряд файлов, скачанных с портала для «партнеров». В них содержится запароленное средство сбора информации о системе. Эти файлы мы рассматриваем как вредоносные, а URL контрольных серверов, используемых при сборе данных, занесли в черные списки. В подробном исследовании (см. выше) описаны также многочисленные индикаторы заражения на уровне сетей и хостов, выдающие присутствие инструментария xDedic и связанных с ним доменов.
Злоумышленники выдумывают новые способы проникновения в корпоративные сети каждый день, так что предприятиям приходится прибегать к проактивным методам.
Экспертные сервисы «Лаборатории Касперского» предлагают комплексный подход к проактивной защите, в том числе и различные средства для нейтрализации угроз, аналогичных xDedic. В первую очередь речь идет о подписном сервисе «Аналитические отчеты об угрозах класса APT«, который предоставляет регулярные, оперативные и практически полезные сведения о продвинутых атаках. Наши клиенты были заблаговременно проинформированы о кампании xDedic и получили все необходимые сведения о том, как выявить вероятный взлом в своих сетях.
Среди наших сервисов также имеется «Тестирование на проникновение», ключевое решение для выявления слабых звеньев в защитном периметре — до того, как до них доберутся киберпреступники. В ходе тестирования наши эксперты действуют так же, как действовали бы преступники, пытаясь выявить возможные точки входа в корпоративный периметр, и по итогам дают рекомендации по улучшению защитных систем.
Еще один сервис — «Выявление целевых атак» — поможет ответить на вопрос «Не проник ли уже кто-либо в IT-инфраструктуру?». Этот сервис позволит выявить деятельность киберпреступников и шпионов внутри сети, причины и вероятные источники проблем, эффективно распланировать мероприятия по нейтрализации угрозы и избежать аналогичных атак в будущем. Среди услуг, оказываемых этим сервисом, присутствуют разведка угроз, инструментальный анализ сети и системных артефактов на основе информации из базы знаний «Лаборатории Касперского» об индикаторах взломов, а также сбор улик для последующего реагирования на инцидент.
Доступ по RDP, которым пользуются «клиенты» xDedic, является легитимным инструментом, нередко санкционированным IT-персоналом, что временами повышает риск атаки. Чтобы избежать подобных ошибок, важно проводить тренинги безопасности как для сотрудников IT-отдела, так и для всех остальных работников. «Лаборатория Касперского» предлагает несколько вариантов подобных тренингов, которые подходят менеджерам, специалистам по безопасности и работникам, чья деятельность не связана с IT.
Кроме того, мы предлагаем специализированную платформу «Защита от целевых атак» — оптимальное решение для компании, которой необходимо как можно оперативнее распознать атаку на ее инфраструктуру. От любых атак остаются следы, вне зависимости от того, насколько преступники стараются их замести. Наше решение позволяет обнаружить события, которые явно отличаются от нормальных бизнес-процессов, и поставить в известность сотрудников отдела IT-безопасности. В случае с xDedic аномальное поведение скомпрометированных машин, контроль над которыми «сдан» сторонним киберпреступникам, вполне очевидно (исходящие RDP-соединения, вредоносные файлы на серверах и т.д.). Так что использование нашей платформы может дать компаниям все необходимые инструменты, чтобы выявить атаку как можно раньше.