امنیت

فناوری اطلاعات

July 10, 2016
9:07 یکشنبه، 20ام تیرماه 1395
کد خبر: 78285

حراج 1167 سرور ایرانی در بازار هکرها

کسپرسکی جزییات بیشتری از بازار هکرها معروف به xDedic در اختیار روزنامه فناوران قرار داده است که نشان می دهد در ماه می، 1167 سرور هک شده ایرانی در این بازار به حراج گذاشته شده بود.
 
شرکت کسپرسکی اخیرا در گزارشی از کشف نوع جدیدی از بازار زیرزمینی خبر داد که در دو سال گذشته فعال بوده است. در این پلتفرم، مجرمان سایبری می توانند بیش از 70 هزار سرور هک شده از سراسر دنیا را خریداری کنند. هدف اصلی xDedic فراهم آوردن فورومی جهت خرید و فروش سرورهای هک شده است.
 
براساس این گزارش از شبکه های دولتی تا سازمانی گرفته، هر گونه سروری در xDedic قابل دستیابی است و میانگین قیمت ها هم تنها 6 دلار برای هر سرور است. به این معنی که با پرداخت این مبلغ، خریدار می تواند به تمام اطلاعات روی سرور دست یافته و حتی ممکن است بتواند حملات مجددی نیز انجام دهد. براساس این گزارش در ماه می 2016 بیش از 70 هزار سرور از 183 کشور جهان از سوی 416 گروه برای فروش روی این پلتفرم قرار داده شده بود که بیشترین تعداد سرورهای برای فروش قرارداده شده در کشورهای برزیل، چین و روسیه قرار داشت.
 
در این گزارش اطلاعات چندانی درباره ایران وجود نداشت که کسپرسکی جزییاتی را در این باره در اختیار خوانندگان روزنامه فناوران قرار داد.
براساس این گزارش در ماه می، برزیل، چین و روسیه به ترتیب با 6540، 5023، و 4020 سرور، بیشترین تعداد سرور هک شده در معرض فروش در این بازار را در اختیار داشتند. این در حالی است که 1167 سرور ایرانی نیز در این بازار در این ماه به حراج گذاشته شده بود که ایران را در جایگاه 21 قرار می دهد.
 
 قربانیان چه کسانی هستند؟
براساس اعلام کسپرسکی، شناسایی دقیق قربانیان کار دشواری است بااین حال این شرکت موفق شده تعدادی از قربانیان را شناسایی و به آنها اطلاع دهد که در میان آنها سرورهای دولتی و دانشگاهی نیز به چشم می خورد.
 
پس از گزارش کسپرسکی، یک هکر اطلاعات برخی IPهای سرورهای هک شده را در اختیار سایت Securelist قرار داد که در میان این IPها، نشانی 934 IP ایرانی با تاریخ هک شدن شان به چشم می خورد. در صورتی که این اطلاعات صحیح باشد، برخی سرورهای ایرانی بیش از یک سال است که هک شده و احتمالا هنوز هم هکرها به این سرورها دسترسی دارند. اطلاعات این IPها در این لینک موجود است: https://tinyurl.com/zwwhh5q
 
 قربانیان، بیش از این تعدادند
براساس گزارش کسپرسکی، احتمالا تعداد قربانیان بسیار بیشتر از تخمین 70 هزار سرور است؛ چراکه میزان خرید و فروش سرورها روی این پلتفرم بالا ارزیابی شده و معلوم نیست دقیقا چه تعداد سرور در دو سال فعالیت xDedic مورد حمله قرار گرفته و هک شده است.
 
برای نمونه، کسپرسکی به بررسی یکی از سرورهای هک شده ای پرداخت که در xDedic برای فروش قرار داده شده است. براساس نتایج به دست آمده، پس از هک سیستم، هکرها یک بدافزار را در مسیر /Windows/System32/scclient.exe قرار داده و آن را به گونه ای تنظیم می کنند که به صورت خودکار در هنگام بوت سیستم عمل کند. نکته جالب تر اینکه آنها همچنین یک نرم افزار bitcoin mining (که برای حل معادله بیت کوین و ساخت این پول الکترونیکی استفاده می شود) را در دستگاه نصب کرده تا از زمان های بیکار دستگاه قربانی تا زمان فروش سرور به خوبی استفاده کنند.
 
با استفاده از اطلاعات تروجان SCClient، کسپرسکی برای این بدافزار تله گذاری کرد تا سرورهای هک شده با بدافزار مشابه را شناسایی کند. در 12 ساعت نخست ارتباط با 3600 آی پی یکتا برقرار شد و در همین مدت کوتاه نشان داد 718 سرور ایران نیز آلوده به این تروجان هستند.
 
 بحران امنیت سرورهای ایرانی ادامه می یابد؟
پس از انتشار گزارش کسپرسکی از xDedic این بازار به صورت آفلاین درآمد و عملا فعالیت در این پلتفرم متوقف شد. اما این واقعیت که در ماه می 1167 سرور ایرانی بدون آنکه صاحبان این سایت ها در جریان باشند، برای فروش در بازار هکرها به حراج گذاشته شده بودند، تغییر نمی کند و هشداری جدی درباره وضعیت امنیتی سرورها و سایت های ایرانی پابرجاست.
 
اخیرا نیز دو گروه هکری ایرانی و خارجی حملات موفقی را به سازمان ها و دانشگاه های دولتی داشته اند و برخی گزارش ها نشان می دهد در این حملات، هکر ایرانی به اسناد ارزشمندی نیز دست پیدا کرده است.
 
در حالی وضعیت امنیت سایت های ایرانی وخیم به نظر می رسد که در این حوزه با وجود مرکز ماهر، سازمان پدافند غیر عامل، مرکز جرایم سازمان یافته سایبری سپاه، پلیس فتا و شورای عالی افتا که وظایف آن اخیرا به شورای عالی فضای مجازی محول شده، با پدیده زیادی نهاد مواجهیم و هنوز شرح وظایف و مسوولیت های این نهادها در قبال ایمنی سایت ها و سرورهای کشور مشخص نیست. 
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.