Envie de faire quelques dégâts sur Internet, mais sans vous faire repérer en utilisant votre serveur ? Facile et pas cher, louez un serveur piraté sur xDedic !

Les chercheurs de Kaspersky Lab ont enquêté sur un forum international où des cybercriminels peuvent acheter et vendre l'accès à des serveurs piratés pour à peine 6 dollars pièce. Le forum xDedic, apparemment gérée par un groupe russophone, recense actuellement 70 624 serveurs RDP (Remote Desktop Protocol) piratés et à vendre. Bon nombre de ces serveurs hébergent ou donnent accès à des sites et services web très fréquentés des consommateurs et où, pour certains, sont installés des logiciels de mailing, de comptabilité financière ou de terminaux point de vente (TPV). Ils peuvent être exploités pour cibler les infrastructures de leurs propriétaires ou comme tremplin pour le lancement d’attaques plus vastes, alors que ces propriétaires, qu’il s’agisse d’administrations, d’entreprises ou d’universités, n’ont guère, voir pas du tout conscience de ce qui se passe.

xDedic est un exemple type d’un nouveau type de plateforme cybercriminelle, bien organisée et offrant aux petits escrocs comme aux groupes APT un accès facilité, rapide et bon marché à une infrastructure de façade pour masquer leurs méfaits le plus longtemps possible.

Comment xDedic a-t-il été découvert ?

Après qu’un fournisseur d’accès Internet (FAI) européen ait alerté Kaspersky Lab sur l’existence de xDedic, les deux sociétés ont décidé d’enquêter conjointement pour étudier le fonctionnement de ce forum. Le processus est simple et complet : les pirates pénètrent dans les serveurs, souvent par des attaques de force brute, et en communiquent les identifiants à xDedic. La configuration RDP, la mémoire, les logiciels, l’historique de navigation, … des serveurs piratés sont ainsi analysés. Autant de caractéristiques sur lesquelles les clients peuvent effectuer des recherches avant de faire leurs emplettes. Ensuite, les serveurs viennent s’ajouter à un catalogue croissant donnant un accès en ligne à :

• des serveurs appartenant à des administrations, entreprises ou universités ;
• des serveurs étiquetés comme ayant accès à ou hébergeant certains sites et services web, (jeux, paris, rencontres, e-commerce, banque et paiement en ligne, téléphonie mobile, FAI, navigateurs…) ;
• des serveurs où sont préinstallés des logiciels pouvant faciliter une attaque (mailing, finance, TPV…) ;
• le tout assorti d’une panoplie d’outils de piratage pour différents systèmes informatiques.

A partir de 6 dollars par serveur, les membres du forum xDedic ont accès à toutes les données d’un serveur et peuvent également utiliser celui-ci comme plate-forme pour lancer d’autres attaques (attaques ciblées, malware, DDoS, phishing, social engineering, adware, etc.).

Des attaques silencieuses

Les propriétaires légitimes des serveurs, qui sont des entités réputées telles que des administrations, des entreprises ou des universités, n’ont souvent pas connaissance du piratage de leur infrastructure informatique. En outre, une fois leur campagne malveillante menée à bien, ses auteurs peuvent remettre en vente l’accès au serveur et l’ensemble du processus peut se répéter.

La place de marché xDedic semble être en service depuis le courant de 2014 et a vu son succès monter en flèche depuis la mi-2015. En mai 2016, elle répertoriait 70 624 serveurs dans 173 pays, mis en vente par 416 vendeurs différents. Les dix principaux pays touchés sont le Brésil, la Chine, la Russie, l’Inde, l’Espagne, l’Italie, la France, l’Australie, l’Afrique du Sud et la Malaisie.

Le groupe qui se cache derrière xDedic paraît être de langue russe et prétend fournir simplement une plate-forme de transactions sans liens ni affiliations avec les vendeurs.

« xDedic vient encore confirmer que la cybercriminalité sous forme de service se développe par l’ajout d’écosystèmes commerciaux et de plates-formes transactionnelles. Son existence apporte une facilité sans précédent pour tous ceux, des petits malfaiteurs aux auteurs de menaces APT étatiques, qui souhaitent lancer à moindre coût des attaques potentiellement dévastatrices avec rapidité et efficacité. Les victimes, en définitive, ne sont pas seulement les consommateurs ou entreprises cibles d’une attaque mais aussi les propriétaires des serveurs qui ne soupçonnent pas ce qui se passe : il est probable qu’ils ignorent totalement que leurs serveurs sont détournés à de multiples reprises pour différentes attaques, toutes menées à leur insu », commente Costin Raiu, Directeur de l’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab.