I forum su Internet dedicati alla criminalità informatica non sono una novità. Prima di oggi, però, non ci si era mai trovati davanti a un fenomeno come quello di xDedic, un market rivolto ai pirati informatici e organizzato sulla base di un perfetto modello di business.
L’allarme è partito da un Internet Provider e ha permesso agli analisti di Kaspersky di portare alla luce un incredibile market online dedicato alla vendita di accessi a server che possono essere controllati a distanza dagli acquirenti.
Stando a quanto ricostruito dagli analisti della società russa, il modello di business di xDedic è simile a quello di eBay: l’organizzazione che lo gestisce, infatti, non mette in vendita nulla ma si limita a offrire la piattaforma per consentire le transazioni.
Sul sito è possibile acquistare a prezzi stracciati (a partire da 6 dollari) l’accesso in remoto a migliaia di server compromessi. Alcuni di questi ospitano noti siti Web e servizi online, ma anche siti di scommesse e server che ospitano software per la gestione dei POS (Point Of Sale) e l’invio di email.
Insomma: i clienti di xDedic possono accedere più o meno a quello che vogliono, utilizzando i server all’insaputa dei legittimi proprietari per rubare dati o sfruttare i servizi disponibili per i loro scopi.
Che si tratti di iniettare un malware all’interno di una pagina Web, utilizzare un mail server per inviare spam o rubare i dati dei clienti di un servizio online, tutto quello che i criminali devono fare è scegliere il server giusto tra quelli in offerta e pagare il corrispettivo (rigorosamente in Bitcoin) al venditore.
Kaspersky ha tenuto sotto controllo il market negli ultimi 3 mesi e, a quanto risulta, è in continua espansione. Se a marzo il numero di server compromessi in vendita erano poco più di 50.000, a maggio erano più di 70.000 (di cui oltre 3000 in Italia) con oltre 400 “venditori” registrati.
Nella loro analisi, i ricercatori di Kaspersky hanno messo in luce il grande interesse da parte dei cyber-criminali per i server che gestiscono sistemi di pagamento tramite PoS, utilizzati probabilmente per raccogliere i dati delle carte di credito attraverso malware specializzati in questo genere di attività come Backoff.
L’interfaccia di xDedic è terribilmente simile a quella di un normale servizio di e-commerce e prevede anche un sito dedicato che consente l’accesso ai “partner”, ovvero a chi vende i server compromessi.
Ma come ottengono l’accesso ai server? Stando alla ricerca di Kaspersky, l’attacco ai server RDP viene portato attraverso tecniche di brute forcing. Una volta ottenuto l’accesso, i pirati installano un trojan chiamato SCCLIENT.
Il trojan è controllato tramite dei “normali” server Command & Control. Kaspersky ne ha individuati 8 e i suoi ricercatori sono riusciti a “bucarne” 5. Analizzando gli indirizzi IP che si sono collegati al server C&C, hanno potuto identificare migliaia di server compromessi, molti dei quali di proprietà di università ed enti statali.
SCCLIENT utilizza comunicazioni criptate e le comunicazioni con i server RDP compromessi sono affidate a un pratico client software sviluppato dai creatori di xDedic.
In pratica, i clienti del market non devono destreggiarsi con righe di comando e terminali, ma possono utilizzare un’interfaccia grafica che gli permette di collegarsi al server e controllarlo.
Una delle particolarità di SCCLIENT è quella di integrare un miner per Bitcoin. Una trovata che permette ai pirati di monetizzare il controllo del server prima di venderlo. In attesa dell’acquirente, si sfrutta la sua potenza di calcolo per raggranellare qualche dollaro.