Hơn 70.000 máy chủ bị rao bán quyền truy cập với giá "rẻ bèo"

Các chuyên gia tại Kaspersky Lab vừacông bố kết quả điều tra diễn đàn quốc tế xDedic- nơi tội phạm mạng có thể mua bán quyền truy cập vào các máy chủvới giá chỉ 6 USD cho mỗi quyền truy cập. Diễn đàn nàycó vẻ được điều hành bởi nhóm tội phạm mạng nói tiếng Nga, hiện đang có 70.624 máy chủ được rao bán.

Ngoài máy tính cá nhân, các máy chủ cũng đang bị kẻ gian dòm ngó. (Ảnh minh họa: Internet)

Cụ thể, chỉ từ 6 USD cho mỗi máy chủ, thành viên diễn đàn xDedic đã có thể truy cập vào tất cả dữ liệu của một máy chủ và sử dụng chúng như nền tảng để tấn công về sau, có thể bao gồm tấn công có chủ đích, phần mềm độc hại, DDoS, lừa đảo bằng email, tấn công bằng kỹ thuật xã hội,...

Chủ nhân của những máy chủ hợp pháp, các tổ chức có danh tiếng bao gồm mạng lưới chính phủ, tập đoàn và trường đại học thường không biết rằng hệ thống CNTT của mình đang bị tổn hại. Hơn nữa, một khi chiến dịch hoàn thành, những kẻ tấn công có thể quay lại truy cập vào máy chủ dự phòng để lấy thông tin đem rao bán và toàn bộ quá trình có thể lặp lại một lần nữa.

xDedic có vẻ đã hoạt động vào năm 2014 và phát triển lớn mạnh vào giữa năm 2015. Tháng 5.2016, nó đã có một danh sách gồm 70.624 máy chủ từ 173 quốc gia được rao bán với 416 tên người bán khác nhau. Top 10 quốc gia bị ảnh hưởng gồm có: Brazil, Trung Quốc, Nga, Ấn Độ, Tây Ban Nha, Ý, Pháp, Úc, Nam Phi và Malaysia.

Đứng sau xDedic có vẻ là nhóm tội phạm mạng nói tiếng Nga và cam đoan rằng chúng chỉ cung cấp nơi giao dịch và không có bất kỳràng buộc nào với người bán.

Điều đáng lo ngại là có nhiều máy chủ được cấp quyền truy cập đến những trang web thương mại, các dịch vụ và quản lýcácphần mềmgửi mail trực tiếp, kế toán tài chính hayPoint-of-Sale (PoS). Chúng có thể được dùng để tấn công hệ thống hoặc làm bệ phóng cho những cuộc tấn công lớn hơn. Trong khi đó, chủ hệ thống, bao gồm các tổ chức chính phủ, tập đoàn và trường đại học lại biết rất ít hoặc chẳng biết gì về chuyện đang xảy ra.

Theo Kaspersky Lab, trước đó, một nhà cung cấp dịch vụ internet ở châu Âuđã cảnh báo Kaspersky Lab về sự tồn tại của xDedic và họđã làm việc với nhau để điều tra cách diễn đàn hoạt động. Quá trình tấn công của hacker khá đơn giản: Hacker đột nhập vào máy chủ, thường là thông qua các cuộc tấn công brute-forcevà mang về các thông tin cho xDedic. Sau đó, các máy chủ bị hack sau đó được kiểm tra cấu hình RDP, bộ nhớ, phần mềm, lịch sử duyệt web và nhiều thứ khác- tất cả các tính năng mà khách hàng có thể tìm kiếm trước khi mua hàng.