In einem internationalen Forum kaufen und verkaufen Cyberkriminelle den Zugriff auf kompromittierte Server für nur 6 US-Dollar. Der Untergrundmarktplatz xDedic wird mutmaßlich von einer Russisch-sprachigen Gruppe betrieben und umfasst derzeit mehr als 70.000 gehackte Server weltweit mit Remote Desktop Protocol (RDP). Auf den Schwarzmarkt wurde Kaspersky Lab durch einen ISP aufmerksam gemacht.
Viele der Server hosten oder bieten Zugang zu beliebten Webseiten und Diensten. Auf einigen finde sich Software für E-Mail-Versand, Finanzbuchhaltung oder Bezahlvorgänge. Unter den ahnungslosen rechtmäßigen Inhabern der Server sollen sich auch staatliche Organisationen, Unternehmen und Universitäten befinden. Mit Hilfe von xDedic nutzen Cyberkriminelle deren IT-Infrastruktur unbemerkt für eigene Attacken.
Die Plattform xDedic sei gut organisiert und biete einen schnellen, billigen, einfachen und heimlichen Zugang, der von cyberkriminellen Anfängern ebenso wie von erfahrenen APT-Gruppen genutzt wird. Für nur sechs Dollar pro Server bietet xDedic den Forumsmitgliedern Zugriff auf alle Serverdaten und ermöglicht darüber hinaus die Nutzung für weitere Cyberangriffe wie zielgerichtete Attacken, die Verbreitung von Malware, Distributed Denial of Services (DDoS), Phishing, Social Engineering oder Adware-Attacken.
Die Plattform existiert schon seit zwei Jahren
Kaspersky Lab wurde eigenen Angaben von einem europäischen Internet Service Provider (ISP) auf xDedic aufmerksam gemacht. Beide Unternehmen hätten dann gemeinsam das ebenso einfache wie gründliche Vorgehen der Plattform unter die Lupe genommen. Demnach liefern Hacker Server-Zugangsdaten an xDedic, die sie oftmals mit Hilfe von Brute-Force-Angriffen erlangen konnten. Die Server werden dann unter anderem in Hinblick auf ihre RDP-Konfiguration, Speicherkapazität, installierte Software und den Browserverlauf geprüft und schließlich in das stetig wachsende Online-Verzeichnis von xDedic aufgenommen. So können Kunden vor dem Kauf eines Accounts den für ihre Zwecke passenden Server auswählen.
Die Server
- werden von Regierungseinrichtungen, Unternehmen oder Universitäten betrieben,
- haben Zugriff auf oder hosten selbst Webseiten und Dienste aus den Bereichen Games, Wetten, Partnersuche, Online-Shopping, Online-Banking, Bezahlsysteme, Mobilfunknetze, ISP und Browser,
- besitzen vorinstallierte Software für E-Mail-Versand, Finanzbuchhaltung oder Bezahlvorgänge (PoS, Point of Sale), die für cyberkriminelle Angriffe dienlich ist und
- werden von etlichen Tools für Hacking und Systeminformation unterstützt.
Vermutlich trat die xDedic-Plattform bereits im Jahr 2014 auf den Markt. Seit 2015 erfreue sie sich immer größerer Beliebtheit, so dass dort aktuell 416 unbekannte Anbieter den Zugriff auf 70.624 Server aus 173 Ländern anbieten. Die Liste der Länder wird angeführt von Brasilien, China, Russland, Indien, Spanien, Italien, Frankreich, Australien, Südafrika und Malaysia.
„xDedic ist ein weiterer Beleg dafür, dass Cybercrime-as-a-Service-Modelle expandieren” sagt Costin Raiu, Director Global Research and Analysis Team (GReAT) bei Kaspersky Lab. „Damit hat jeder – vom Anfänger über ambitionierte Cyberkriminelle bis zu nationalstaatlich unterstützen Angreifern – eine kostengünstige, schnelle und effektive Möglichkeit, potenziell verheerende Cyberangriffe durchzuführen. Opfer sind dabei nicht nur die attackierten Einzelpersonen und Organisationen, sondern auch die Betreiber der für die Angriffe genutzten Server. Sie haben vermutlich keine Ahnung, dass die Server direkt vor ihrer Nase immer wieder für verschiedene Cyberangriffe missbraucht werden.“