175 tysięcy adresów IP, ponad 70 tysięcy serwerów, na których możemy poinstalować każdy możliwy malware, albo wykorzystać je jako źródło ataku. To wszystko cyber-przestępcy oferują online, od niecałych 10 dolarów za sztukę. Brzmi abstrakcyjnie? Może i tak – problem w tym, że to prawda. Ale w Orange Polska mamy na to lekarstwo.
O ile „analogowe” włamanie wciąż może kojarzyć się z wybiciem szyby, wyszaprnięciem łupów i błyskawiczną ucieczką, by nie zdążył za nami pościg, w cyber-świecie od dawna jest inaczej. Tutaj wchodzimy do sieci ofiary i im dłużej w niej zostaniemy, tym lepiej. A najlepiej, jeśli zdołamy zamaskować źródło ataku na tyle, by odsunąć od siebie podejrzenia.
Mówi Wam coś hasło xDedic? Choć od pewnego czasu bezpieczeństwo ITN trafia pod strzechy i do mainstreamowych mediów, akurat tej nazwy wedle mojej wiedzy tam zabrakło. A szkoda, bo to jedno z najbardziej spektakularnych przedsięwzięć ostatnich lat – sprzedaż dostępu do… przejętych serwerów firm i osób prywatnych. Ponad 175 tysięcy adresów IP, prowadzących do ponad 70 tysięcy serwerów na całym świecie! Wystarczy już marne kilka dolarów, by móc korzystać z serwera, którego mniej lub bardziej dokładny opis możemy wcześniej przeczytać w „panelu ofertowym” przestępcy (ile czasu jest online, konfiguracja, antywirusy, przeglądarki, obecność na blacklistach, podłączone sklepy internetowe, itd.). Oczywiście im bardziej „wypasione” możliwości docelowego urządzenia – tym drożej.
Możliwości? Niezliczone. Można oczywiście rozbijać się po urządzeniu, do którego wykupiliśmy dostęp, poinstalować na nim dodatkowe złośliwe oprogramowanie (badacze znaleźli na liście 453 serwerów z bezpośrednim dostępem do… terminali kasowych(!), w tym 5 w Polsce). No i oczywiście czemu by nie skorzystać z adresów zaufanej firmy do przeprowadzenia dalszych ataków. Na przykład na… konkurencję, a potem zacierać rączki, gdy atak zostanie wykryty i jedni zetrą się z drugimi.
Co robić, jak żyć? I tu wjeżdżamy my, na białym… no dobra, bez przesady z koniem, ale koledzy w CERT Orange Polska doszli do wniosku, że warto zrobić użytek z bazy adresów IP ofiar xDedica, która trafiła w ręce badaczy (chylę czoła w kierunku kolegów z Kaspersky’ego, którzy urobili się przy tej sprawie po łokcie). Na stronie
https://cert.orange.pl/xdedic/index.php możecie sprawdzić, czy znajduje się w niej któryś z adresów Waszych urządzeń. Nawet jeśli tak będzie, zachowajcie stres na dzisiejszy ćwierćfinał z Portugalią, a serwerowi poświęćcie po prostu chwilę czasu, podczas którego:
* odłączcie go od sieci
* zainstalujcie ostatnie poprawki do wszystkich zainstalowanych programów
* sprawdźcie go antywirusem
A po ponownym włączeniu do sieci dodatkowo:
* wyłączcie na serwerze niepotrzebne usługi
* ograniczcie do minimum dostęp administratorski
* monitorujcie ruch sieciowy związany z serwerem (a najlepiej wszystkim)
Warto też rzucić okiem na usługi bezpieczeństwa oferowane przez Orange Polska. A przede wszystkim – bądźcie bezpieczni, nie dajcie się!
Mainpage graphic: securelist.com