Hơn 70.000 máy chủ bị rao bán quyền truy cập với giá "rẻ bèo"
Chỉ từ 6 USD, bạn có thể mua quyền truy cập vào một máy chủ nào đó mà hacker đang nắm giữ.
Các chuyên gia tại Kaspersky Lab vừa công bố kết quả điều tra diễn đàn quốc tế xDedic - nơi tội phạm mạng có thể mua bán quyền truy cập vào các máy chủ với giá chỉ 6 USD cho mỗi quyền truy cập. Diễn đàn này có vẻ được điều hành bởi nhóm tội phạm mạng nói tiếng Nga, hiện đang có 70.624 máy chủ được rao bán.
Ngoài máy tính cá nhân, các máy chủ cũng đang bị kẻ gian dòm ngó. (Ảnh minh họa: Internet)
Cụ thể, chỉ từ 6 USD cho mỗi máy chủ, thành viên diễn đàn xDedic đã có thể truy cập vào tất cả dữ liệu của một máy chủ và sử dụng chúng như nền tảng để tấn công về sau, có thể bao gồm tấn công có chủ đích, phần mềm độc hại, DDoS, lừa đảo bằng email, tấn công bằng kỹ thuật xã hội,...
Chủ nhân của những máy chủ hợp pháp, các tổ chức có danh tiếng bao gồm mạng lưới chính phủ, tập đoàn và trường đại học thường không biết rằng hệ thống CNTT của mình đang bị tổn hại. Hơn nữa, một khi chiến dịch hoàn thành, những kẻ tấn công có thể quay lại truy cập vào máy chủ dự phòng để lấy thông tin đem rao bán và toàn bộ quá trình có thể lặp lại một lần nữa.
xDedic có vẻ đã hoạt động vào năm 2014 và phát triển lớn mạnh vào giữa năm 2015. Tháng 5.2016, nó đã có một danh sách gồm 70.624 máy chủ từ 173 quốc gia được rao bán với 416 tên người bán khác nhau. Top 10 quốc gia bị ảnh hưởng gồm có: Brazil, Trung Quốc, Nga, Ấn Độ, Tây Ban Nha, Ý, Pháp, Úc, Nam Phi, Malaysia,...
Điều đáng lo ngại là có nhiều máy chủ được cấp quyền truy cập đến những trang web thương mại, các dịch vụ và quản lý các phần mềm gửi mail trực tiếp, kế toán tài chính hay Point-of-Sale (PoS). Chúng có thể được dùng để tấn công hệ thống hoặc làm bệ phóng cho những cuộc tấn công lớn hơn. Trong khi đó, chủ hệ thống, bao gồm các tổ chức chính phủ, tập đoàn và trường đại học lại biết rất ít hoặc chẳng biết gì về chuyện đang xảy ra.
Theo Kaspersky Lab, trước đó, một nhà cung cấp dịch vụ internet ở châu Âu đã cảnh báo Kaspersky Lab về sự tồn tại của xDedic và họ đã làm việc với nhau để điều tra cách diễn đàn hoạt động. Quá trình tấn công của hacker khá đơn giản: Hacker đột nhập vào máy chủ, thường là thông qua các cuộc tấn công brute-force và mang về các thông tin cho xDedic. Sau đó, các máy chủ bị hack được kiểm tra cấu hình RDP, bộ nhớ, phần mềm, lịch sử duyệt web và nhiều thứ khác - tất cả các tính năng mà khách hàng có thể tìm kiếm trước khi mua hàng.