Магазин дырявых серверов

Всего за $6 можно получить пароль для доступа к любому из более чем 70 000 серверов, обнаружила «Лаборатория Касперского»/ А. Гордеев/ Ведомости

«Лаборатория Касперского» сообщила, что обнаружила крупную международную площадку xDedic, где с 2014 г. продается доступ к взломанным серверам. Сейчас в базе злоумышленников 70 624 сервера, принадлежащих правительственным и коммерческим структурам 173 стран (российских – около 4000, кто ими владеет, «Лаборатория Касперского»не раскрывает), доступ к каждому стоит $6. Владельцы серверов могут даже не подозревать об их взломе. Помимо России скомпрометированные серверы находятся в Бразилии, Китае, Индии, Испании, Италии, Франции и Австралии.

Злоумышленники пополняют базу, взламывая новые серверы. Перед тем как выставить их на продажу, операторы площадки проверяют и описывают характеристики серверов. На них может храниться информация для доступа к ресурсам азартных и онлайн-игр, интернет-магазинам, банковским и платежным системам, веб-сервисам сотовых операторов и интернет-провайдеров, сообщает «Лаборатория Касперского». Подобно обычным магазинам операторы xDedic предлагают покупателям техподдержку.

Доступ к серверам может использоваться как для атак на инфраструктуру владельцев серверов, так и в качестве отправной точки для более масштабных кампаний, объясняет представитель «Лаборатории Касперского» Юлия Кривошеина. Например, для DDoS-атак, фишинга (специальный вид кибератаки, когда вредоносный ресурс выдается за привычный пользователю), рекламных рассылок и кибершпионажа. Воспользовавшись сервером, его можно снова выставить на продажу. Месячный оборот площадки «Лаборатория Касперского» оценивает в $50 000–60 000.

Каков ущерб

0,25% ВВП, или около 203 млрд руб., – такой ущерб российской экономике нанесли в 2015 г. действия киберпреступников, сообщал в апреле 2016 г. российский офис Microsoft, который провел совместное исследование с Фондом развития интернет-инициатив и Group-IB. Финансовый ущерб составил 123 млрд руб., еще около 80 млрд руб. потребовалось на ликвидацию последствий и восстановление после сбоев. С кибератаками столкнулось 92% из 600 опрошенных компаний, 42% из них пришлось на крупные коммерческие компании и госструктуры

Российская компания сообщила о взломах серверов в правоохранительные органы тех стран, где расположены серверы самой xDedic, говорит Кривошеина. Запрос в xDedic остался без ответа.

Но это не единственная площадка, где продаются инструменты для киберпреступников. Директору департамента киберразведки Group-IB (расследует киберпреступления) Дмитрию Волкову известно о нескольких десятках таких площадок. Он напоминает еще об одном возможном применении взломанных серверов: киберпреступник может использовать их для прикрытия, чтобы совершать атаки анонимно, с чужих площадок.

Известно о подобных площадках и директору по методологии Positive Technologies (анализ уязвимостей информационных систем) Дмитрию Кузнецову: одной из самых известных была российская Russian Business Network, закрытия которой около пяти лет добивались ФСБ, Интерпол и службы США. На таких площадках можно купить все – от баз данных пластиковых карт до ботнет-сетей (сети из зараженных компьютеров), которые недороги и могут использоваться многократно, говорит Кузнецов. Суточная аренда ботнета на 100 машин может стоить около $20, ссылается он на данные исследования Symantec.

Существование подобных площадок упрощает и удешевляет атаки на информационные системы, говорят Кузнецов и руководитель глобального центра анализа угроз «Лаборатории Касперского» Костин Райю. XDedic Райю считает разновидностью сервиса «киберпреступность как услуга». Однако, планируя серьезные кибероперации, злоумышленники все же обходятся без готовых инструментов, а создают свою инфраструктуру с нуля, уверен гендиректор компании Digital Security (анализ уязвимостей компьютерных систем) Илья Медведовский.