کسپرسکی جزییات بیشتری از بازار هکرها معروف به xDedic در اختیار روزنامه فناوران قرار داده است که نشان می دهد در ماه می، 1167 سرور هک شده ایرانی در این بازار به حراج گذاشته شده بود.
شرکت کسپرسکی اخیرا در گزارشی از کشف نوع جدیدی از بازار زیرزمینی خبر داد که در دو سال گذشته فعال بوده است. در این پلتفرم، مجرمان سایبری می توانند بیش از 70 هزار سرور هک شده از سراسر دنیا را خریداری کنند. هدف اصلی xDedic فراهم آوردن فورومی جهت خرید و فروش سرورهای هک شده است.
براساس این گزارش از شبکه های دولتی تا سازمانی گرفته، هر گونه سروری در xDedic قابل دستیابی است و میانگین قیمت ها هم تنها 6 دلار برای هر سرور است. به این معنی که با پرداخت این مبلغ، خریدار می تواند به تمام اطلاعات روی سرور دست یافته و حتی ممکن است بتواند حملات مجددی نیز انجام دهد. براساس این گزارش در ماه می 2016 بیش از 70 هزار سرور از 183 کشور جهان از سوی 416 گروه برای فروش روی این پلتفرم قرار داده شده بود که بیشترین تعداد سرورهای برای فروش قرارداده شده در کشورهای برزیل، چین و روسیه قرار داشت.
در این گزارش اطلاعات چندانی درباره ایران وجود نداشت که کسپرسکی جزییاتی را در این باره در اختیار خوانندگان روزنامه فناوران قرار داد.
براساس این گزارش در ماه می، برزیل، چین و روسیه به ترتیب با 6540، 5023، و 4020 سرور، بیشترین تعداد سرور هک شده در معرض فروش در این بازار را در اختیار داشتند. این در حالی است که 1167 سرور ایرانی نیز در این بازار در این ماه به حراج گذاشته شده بود که ایران را در جایگاه 21 قرار می دهد.
قربانیان چه کسانی هستند؟
براساس اعلام کسپرسکی، شناسایی دقیق قربانیان کار دشواری است بااین حال این شرکت موفق شده تعدادی از قربانیان را شناسایی و به آنها اطلاع دهد که در میان آنها سرورهای دولتی و دانشگاهی نیز به چشم می خورد.
پس از گزارش کسپرسکی، یک هکر اطلاعات برخی IPهای سرورهای هک شده را در اختیار سایت Securelist قرار داد که در میان این IPها، نشانی 934 IP ایرانی با تاریخ هک شدن شان به چشم می خورد. در صورتی که این اطلاعات صحیح باشد، برخی سرورهای ایرانی بیش از یک سال است که هک شده و احتمالا هنوز هم هکرها به این سرورها دسترسی دارند. اطلاعات این IPها در این لینک موجود است: https://tinyurl.com/zwwhh5q
قربانیان، بیش از این تعدادند
براساس گزارش کسپرسکی، احتمالا تعداد قربانیان بسیار بیشتر از تخمین 70 هزار سرور است؛ چراکه میزان خرید و فروش سرورها روی این پلتفرم بالا ارزیابی شده و معلوم نیست دقیقا چه تعداد سرور در دو سال فعالیت xDedic مورد حمله قرار گرفته و هک شده است.
برای نمونه، کسپرسکی به بررسی یکی از سرورهای هک شده ای پرداخت که در xDedic برای فروش قرار داده شده است. براساس نتایج به دست آمده، پس از هک سیستم، هکرها یک بدافزار را در مسیر /Windows/System32/scclient.exe قرار داده و آن را به گونه ای تنظیم می کنند که به صورت خودکار در هنگام بوت سیستم عمل کند. نکته جالب تر اینکه آنها همچنین یک نرم افزار bitcoin mining (که برای حل معادله بیت کوین و ساخت این پول الکترونیکی استفاده می شود) را در دستگاه نصب کرده تا از زمان های بیکار دستگاه قربانی تا زمان فروش سرور به خوبی استفاده کنند.
با استفاده از اطلاعات تروجان SCClient، کسپرسکی برای این بدافزار تله گذاری کرد تا سرورهای هک شده با بدافزار مشابه را شناسایی کند. در 12 ساعت نخست ارتباط با 3600 آی پی یکتا برقرار شد و در همین مدت کوتاه نشان داد 718 سرور ایران نیز آلوده به این تروجان هستند.
بحران امنیت سرورهای ایرانی ادامه می یابد؟
پس از انتشار گزارش کسپرسکی از xDedic این بازار به صورت آفلاین درآمد و عملا فعالیت در این پلتفرم متوقف شد. اما این واقعیت که در ماه می 1167 سرور ایرانی بدون آنکه صاحبان این سایت ها در جریان باشند، برای فروش در بازار هکرها به حراج گذاشته شده بودند، تغییر نمی کند و هشداری جدی درباره وضعیت امنیتی سرورها و سایت های ایرانی پابرجاست.
اخیرا نیز دو گروه هکری ایرانی و خارجی حملات موفقی را به سازمان ها و دانشگاه های دولتی داشته اند و برخی گزارش ها نشان می دهد در این حملات، هکر ایرانی به اسناد ارزشمندی نیز دست پیدا کرده است.
در حالی وضعیت امنیت سایت های ایرانی وخیم به نظر می رسد که در این حوزه با وجود مرکز ماهر، سازمان پدافند غیر عامل، مرکز جرایم سازمان یافته سایبری سپاه، پلیس فتا و شورای عالی افتا که وظایف آن اخیرا به شورای عالی فضای مجازی محول شده، با پدیده زیادی نهاد مواجهیم و هنوز شرح وظایف و مسوولیت های این نهادها در قبال ایمنی سایت ها و سرورهای کشور مشخص نیست.