xDedic – das dubiose Geschäft mit gehackten Servern

 Download PDF version

Im Laufe der letzten zwei Jahren ist tief in den Slums des Internets ein Markt ganz anderer Art entstanden.

Der kurze, kryptische Name sagt vermutlich nicht viel über ihn aus, er lautet xDedic. Doch auf diesem obskuren Marktplatz kann jedermann mehr als 70.000 gehackte Server, die über das gesamte Internet verteilt sind, käuflich erwerben.

xDedic – das dubiose Geschäft mit gehackten Servern

Login zum xDedic-Forum

Von Regierungsnetzwerken bis zu Unternehmen, von Webservern bis zu Datenbanken, xDedic bietet Käufern einen Marktplatz, auf dem sie alles finden. Das Beste daran ist: Es ist billig! Den Zugriff auf einen Server eines Regierungsnetzwerks in einem EU-Land kostet unter Umständen weniger als 6 Dollar.

Die einmaligen Kosten bieten einem übelwollenden Käufer Zugriff auf alle Daten auf dem Server sowie die Möglichkeit, diesen Zugriff als Ausgangspunkt für weitere Attacken zu nutzen. Es ist ein Hacker-Traum, den Zugriff auf die Opfer zu vereinfachen, es günstiger und schneller zu gestalten und sowohl Cyberkriminellen als auch APT-Akteuren neue Möglichkeiten zu eröffnen.

xDedic – das dubiose Geschäft mit gehackten Servern

Server-Verkaufsforum

Für die Untersuchung von xDedic hat sich Kaspersky Lab mit einem europäischen Internet Service Provider zusammengetan. Im Laufe der Ermittlungen konnten wir Daten über die Opfer sammeln und in Erfahrung bringen, wie der Markt funktioniert.

Im Mai 2016 zählten wir 70.624 Server, die zum Verkauf standen und von 416 individuellen Verkäufern in 173 betroffenen Ländern angeboten wurden. Im März 2016 lag die Zahl bei 55.000, ein eindeutiger Hinweis darauf, dass die Datenbanken der Nutzer und Server sorgfältig gepflegt und aktualisiert werden.

xDedic – das dubiose Geschäft mit gehackten Servern

Top 10 der Länder, in denen Server zum Verkauf angeboten werden

Interessanterweise verkaufen die Entwickler von xDedic nichts selbst – sie haben stattdessen einen Marktplatz geschaffen, auf dem ein Netzwerk von Geschäftspartnern Zugriff auf kompromittierte Server verkaufen kann. Um die Wahrheit zu sagen, haben die Leute hinter xDedic einen wirklichen „Qualitätsservice“ geschaffen – das Forum enthält sogar technischen Support in Echtzeit, spezielle Tools, um gehackte Server zu patchen, damit mehrere RDP-Sessions zugelassen werden, sowie Profiling-Tools, die Informationen über die gehackten Server in die xDedic-Datenbank hochladen.

xDedic – das dubiose Geschäft mit gehackten Servern

Top 10 der Verkäufer – Mai 2016

Wer aber sind die oben aufgeführten xDedic-Verkäufer? Es ist uns gelungen, eine sehr spezielle Malware (SCCLIENT) zu identifizieren, die von einem von ihnen verwendet wird, und wir konnten seine C&Cs auf einen Sinkhole-Server umleiten. So war es uns möglich, einen Blick auf die Aktivität einer dieser Größen zu werfen, bei der es sich nach der Zahl der Opfer zu urteilen entweder um Narko, xLeon oder sirr handelt.

xDedic – das dubiose Geschäft mit gehackten Servern

SCCLIENT-Trojaner: Informationen über die Opfer, erhalten durch Umleitung auf einen Sinkhole-Server (ersten 12 Stunden)

Die von den xDedic-Entwicklern designte Profiling-Software sammelt ebenfalls Informationen über die auf den Servern installierte Software, wie z.B. für Online-Glücksspiele, Aktienhandel und Bezahlungen.

Offenbar besteht ein starkes Interesse an Buchhaltungssoftware, Programmen für die steuerliche Gewinnermittlung und Point-of-Sale (PoS)-Software, die Betrügern viele Möglichkeiten bietet:

Spam- und Angriffstools Glücksspiel- und Finanz-Software POS-Software

Advanced Mass Sender
Bitvise Tunnelier
DU Brute
LexisNexis Spam Soft
LexisNexis Proxifier
Proxifier
Spam Soft

Full Tilt Poker
iPoker Network
UltraTax 2010 (2011,..,2015)
Abacus Tax Software
CCH tax14 (tax15)
CCH Small Firm Services
ChoicePoint
ProSeries TAX (2014,2015)
ProSystem fx Tax
TAX Software
2015 Tax Praparation
Tax Management Inc.
Lacerte Tax

PosWindows
BrasilPOS
POS AccuPOS
POS Active-Charge
POS Amigo
POS Catapult
POS Firefly
POS ePOS
POS EasiPos
POS Revel
POS Software (Generic)
POS Toast
POS QBPOS
PosTerminal
POS kiosk.exe
POS roi.exe
POS PTService.exe
POS pxpp.exe
POS w3wp.exe
POS DpsEftX.ocx
POS AxUpdatePortal.exe
POS callerIdserver.exe
POS PURCHASE.exe
POS XPS.exe
POS XChgrSrv.exe

Während unserer Untersuchungen zählten wir 453 Server aus 67 Ländern, auf denen PoS-Software installiert war:

xDedic – das dubiose Geschäft mit gehackten Servern

Zum Verkauf stehende Server mit Point-of-Sale-Software – Mai 2016

Ein „schädlicher“ User könnte beispielsweise in das xDedic-Forum gehen, dort ein Konto anmelden, es mit Bitcoins aufladen und dann eine Reihe von Servern erwerben, auf denen PoS-Software installiert ist. Daraufhin kann er PoS-Malware installieren, wie z.B. Backoff, um Kreditkartennummern abzugreifen. Die Möglichkeiten sind praktisch endlos.

Kaspersky Lab hat dieses Problem den zuständigen Strafverfolgungsbehörden gemeldet und ist an den laufenden Ermittlungen beteiligt.

Unseren vollständigen Bericht über xDedic inklusive IOCs können Sie sich hier als PDF herunterladen.

*Um weitere Informationen über die Kaspersky Lab Intelligence Services, Threat Reports und die Custom Threat Analysis zu erhalten, wenden Sie sich bitte an die folgende Adresse: intelreports@kaspersky.com

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.