A kiberbűnözők nem szeretik a nyilvánosságot. Ezért aztán jobbára csak homályos elképzeléseink lehetnek ennek a világnak a működéséről is. A Kaspersky Lab talált egy online piacteret, ami alapján valamivel tisztább képet kaphatunk a "földalatti" világról.

Olyan, mint egy krimiben

Az értékesített információk megbízhatóság nyilván kétséges, ahogy az egész üzlet is kétes, de az árak több mint barátságosak azon az online piactéren, melyen akár már 6 dollárért lehet venni hozzáférési adatokat egy európai uniós kormány feltört szerveréhez. És ha az információ jó volt, csak a fekete kalapos hacker ügyességén múlik, milyen támadásra használja a hozzáférést.

Mindez nem egy kitalált történet. A Kaspersky Lab a napokban tette közzé elemzését a xDedic nevű piactérről, amelyen kiberbűnözök adtek-vettek információkat. A fórum még technikai háttértámogatást is adott. Az xDedic-en  többek között 70 ezer feltört szerverhez kínáltak hozzáférési adatokat. Azért a múltidő, mert a cég értesítette a nyomozó hatóságokat. A piactér feltérképezése azonban sokat elárul a kiberbűnözői piac működéséről.

Profi piactér

A piactéren májusban több mint 70 ezer szerverhez kínálat hozzáférési adatokat. A kutatók 416 eladót tudtak azonosítani 173 országból, azaz szinte nincs olyan ország, amelyből ne kínáltak volna illegálisan megszerzett információkat az xDedicen (jelenleg 193 országot tartanak nyilván a Földön). Márciusban még csak mintegy 55 ezer szerver adatai voltak fent, de 2014 októbere és idén február között összesen 176 ezer szerver adatait értékesíthették itt. Ebből a kutatók arra következtettek, hogy az oldalt gondosan karbantartották és bővítették.

A legtöbb értékesítésre kínált adat Brazíliából (9 százalék) és Kínából (7 százalék) származott. (A földrajzi megoszlást lásd az alábbi grafikonon).
 

A kutatók külön felhívják a figyelmet arra az érdekességre, hogy az xDedic valóban úgy működött, mint egy professzionális piactér. Fejlesztői nem árultak semmit, ők csak egy jól karbantartott platformot kínáltak a kiberbűnözői körnek. A hozzáférési adatok csereplatfromja mellett a piactér egyfajta élő technikai támogatást is biztosított. Azaz be lehetett szerezni rajta speciális hackereszközöket, valamint részletes adatlapokat, amolyan profikokat is tett minden kompromittált szerver mellé.

A pénzügyi alkalmazások mentek a legjobban

Ezek a szerverprofilok egyrészt a szerverek technikai paramétereit tartalmazták, másrészt azt is, hogy milyen szoftverek futottak rajtuk. Külön feltüntették, ha adóügyi, könyvelő vagy fizetési alkalmazás, ún. POS alkalmazás (Point of Sale) futott az adott szerveren. A kutatók 67 országból 453 olyan szervert találtak, amelyen POS szoftver futott.

Kattintson a képre a nagyobb mérethez! Szerveradatok az xDedicen

Az eladóknak (az xDedic szóhasználatával: partner) egy külön oldalon kellett regisztrálniuk. Ezen a partneroldalon volt egy olyan eszköz, a SysScan, amely egy C&C (Command and Control) szerverhez kapcsoódott, és a felkínált szerverek legfontosabb adatait gyűjtötte be, például a szerver ID-t, a Windows verzióját, a rendszer nyelvét, a memóriaméretet, a processzor típusát. Azt is megvizsgálta, hogy fizikai vagy virtuális gépről van-e szó, fut-e rajta vírusvédelem, és nyitva van -e a 25-ös és a 80-as port.

A kiberbűnözőnek tehát nincs más dolga, mint létrehozni egy fiókot az xDedic-en, feltölteni számláját bitcionnal, és aztán megvenni a kiszemelt szerverekhez a hozzáférést. Onnantól a lehetőségei szinte korlátlanok.

A kutatók szerint az xDedic népszerű volt, aminek egyik elsődleges oka, hogy az árakat sikerült alacsonyan tartani. Az odlal működtetőinek kiléte ugyan nem ismert, de sok jel mutat arra, hogy orosz kiberbűnözők állnak mögötte. Ugyanakkor a piactér abszolút globálisan működött, egyfajta Cybercrime as a Service jellegű szolgáltatásként. Ez a modell azért is rendkívül veszélyes, mert nagyon alacsonyra teszi a belépési küszöböt a különböző kibertámadások előtt.

A feketepiac korábban is működött, sőt fekete kalapos hackereket is lehetett bérelni célfeladatokhoz, ám ehhez meg kellett találni az egyedi kínálatokat a net sötét bugyraiban. Az xDedic azonban már a jövőbe mutat: intézményesített felületet hoz létre kiberrbűnöző eladók és vevők találkozásához.

Ez persze annyiban könnyít is a biztonsági cégek és a hatóságok dolgán, hogy ha sikerül egy ilyen platformot feltárni, talán a szereplőket is könnyebb megtalálni.