WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Vụ 841 máy chủ Việt bị rao bán: Có tới 153 máy chủ nằm trong vòng nguy hiểm, Bkav cung cấp công cụ k
[Update ngày 22/06/2016] Bkav đã tiến hành tìm hiểu và kiểm tra trên thực tế thông tin các máy chủ Remote Desktop Protocol (RDP) tại Việt Nam được rao bán trên thị trường chợ đen xDedic. Kết quả cho thấy, 153 máy chủ vẫn đang mở cổng 3389 (RDP), trong đó có 51 máy chủ mở cả cổng 3389 (RDP) và 80 (HTTP). Những máy chủ này có nguy cơ bị khai thác, chiếm quyền điều khiển và bị lợi dụng cho những mục đích xấu.
Cũng theo kết quả kiểm tra của Bkav, trong số 153 máy chủ này, có 7 máy chủ thuộc các cơ quan nhà nước, 20 máy chủ thuộc doanh nghiệp… Bkav đã gửi tới Cục An toàn Thông tin, Bộ TT&TT thông tin chi tiết để Cục An toàn Thông tin điều phối xử lý cũng như hỗ trợ các cơ quan, đơn vị bị ảnh hưởng.
Đồng thời, để giúp người dùng có thể nhanh chóng kiểm tra hệ thống của mình có nằm trong vòng nguy hiểm hay không, Bkav cung cấp công cụ RDP Server Checker tại http://tools.whitehat.vn/. Quản trị chỉ cần nhập địa chỉ IP của mình vào công cụ để kiểm tra xem IP đó có thuộc danh sách hay không.
Nếu IP của bạn thuộc danh sách, việc đầu tiên cần làm là đổi mật khẩu truy cập, đóng toàn bộ các phiên truy cập hiện có. Sau đó, rà soát lại toàn bộ server xem có gì bất thường không, đồng thời thiết lập chính sách đăng nhập chặt chẽ hơn với những server bắt buộc truy cập từ IP Public.
Nếu IP của bạn không thuộc danh sách có thể bị ảnh hưởng bởi vụ việc này, để đảm bảo an ninh chung bạn cũng nên rà soát lại hệ thống của mình.
-----------------------
[Update ngày 17/06/2016] Có 70.624 máy chủ Remote Desktop Protocol (RDP) được rao bán trên thị trường chợ đen xDedic và giá chỉ 6 USD cho mỗi quyền truy cập, trong đó có 841 máy chủ ở Việt Nam.
-----------------------
Hiện đang có 70.624 máy chủ Remote Desktop Protocol (RDP) được rao bán trên mạng. Trong đó có nhiều máy chủ cấp quyền truy cập đến những trang web thương mại, các dịch vụ và đang chạy nhiều phần mềm cài đặt dành cho việc gửi mail trực tiếp, kế toán tài chính và Point-of-Sale (PoS).
Theo Kaspersky, các chuyên gia của hãng đã tiến hành điều tra một diễn đàn quốc tế - nơi tội phạm mạng có thể mua bán quyền truy cập vào các máy chủ bị xâm nhập với giá chỉ 6 USD cho mỗi quyền truy cập. Thị trường xDedic – có vẻ được điều hành bởi nhóm tội phạm mạng nói tiếng Nga, hiện đang có 70.624 máy chủ Remote Desktop Protocol (RDP) được rao bán. Chúng có thể được dùng để tấn công hệ thống hoặc làm bệ phóng cho những cuộc tấn công lớn hơn, trong khi đó, chủ hệ thống, bao gồm các tổ chức chính phủ, tập đoàn và trường đại học lại biết rất ít hoặc chẳng biết gì về chuyện đang xảy ra.
xDedic là một ví dụ điển hình cho kiểu chợ đen mới của tội phạm mạng. Nơi đây được tổ chức, hậu thuẫn tốt và cấp quyền truy cập dễ dàng, nhanh chóng vào hệ thống tổ chức hợp pháp với chi phí thấp cho bất kì tội phạm mạng nào, kể cả từ cấp độ nhập môn đến băng nhóm APT nhằm che giấu hành động phi pháp càng lâu càng tốt.
Chuyên gia từ Kaspersky cho biết, một nhà cung cấp dịch vụ Internet ở châu Âu (ISP) đã cảnh báo về sự tồn tại của xDedic và họ đã làm việc với nhau để điều tra cách diễn đàn hoạt động. Quá trình này đơn giản và ti mỉ: hacker đột nhập vào máy chủ, thường là thông qua các cuộc tấn công brute-force, và mang về các thông tin cho xDedic. Các máy chủ bị hack sau đó được kiểm tra cấu hình RDP, bộ nhớ, phần mềm, lịch sử duyệt web và nhiều hơn nữa - tất cả các tính năng mà khách hàng có thể tìm kiếm trước khi mua hàng.
Sau đó, chúng được thêm vào một danh mục trực tuyến bao gồm quyền truy cập vào: Máy chủ thuộc mạng lưới chính phủ, tập đoàn và trường đại học; Máy chủ được gắn thẻ để có quyền truy cập hoặc lưu trữ các trang web và dịch vụ nhất định, bao gồm chơi game, cá cược, hẹn hò, mua sắm trực tuyến, ngân hàng và thanh toán trực tuyến, mạng điện thoại di động, ISP và trình duyệt; Máy chủ với phần mềm được cài đặt sẵn có thể tạo điều kiện cho việc tấn công diễn ra, bao gồm phần mềm mail trực tiếp, tài chính và PoS; Và tất cả đều được một loạt các công cụ dùng để hack và lấy thông tin hệ thống hỗ trợ.
Chỉ từ 6 USD cho mỗi máy chủ, thành viên diễn đàn xDedic đã có thể truy cập vào tất cả dữ liệu của một máy chủ và sử dụng chúng như nền tảng để tấn công về sau, có thể bao gồm tấn công có chủ đích, phần mềm độc hại, DDoS, lừa đảo bằng email, tấn công bằng kỹ thuật xã hội và adware.
Chủ nhân của những máy chủ hợp pháp, các tổ chức có danh tiếng bao gồm mạng lưới chính phủ, tập đoàn và trường đại học thường không biết rằng hệ thống CNTT của mình đang bị tổn hại. Hơn nữa, một khi chiến dịch hoàn thành, những kẻ tấn công có thể quay lại truy cập vào máy chủ dự phòng để lấy thông tin đem rao bán và toàn bộ quá trình có thể lặp lại một lần nữa.
Thị trường xDedic có vẻ đã hoạt động vào năm 2014 và phát triển lớn mạnh vào giữa năm 2015. Tháng 5/2016, nó đã có một danh sách gồm 70.624 máy chủ từ 173 quốc gia được rao bán với 416 tên người bán khác nhau. Top 10 quốc gia bị ảnh hưởng gồm có: Brazil, Trung Quốc, Nga, Ấn Độ, Tây Ban Nha, Ý, Pháp, Úc, Nam Phi và Malaysia.
Đứng sau xDedic có vẻ là nhóm tội phạm mạng nói tiếng Nga và Kaspersky cam đoan rằng chúng chỉ cung cấp nơi giao dịch và không có bất kì ràng buộc nào với người bán.
Theo khuyến nghị từ các chuyên gia, các tổ chức nên cài đặt một giải pháp an ninh thiết thực như một phần của hệ thống an ninh CNTT toàn diện và đa tầng. Luôn bắt buộc sử dụng mật khẩu có độ mạnh cao trong quá trình xác thực máy chủ. Liên tục thực hiện quy trình quản lý các bản vá lỗi. Tiến hành kiểm toán an ninh hệ thống CNTT thường xuyên. Đồng thời, xem xét đầu tư dịch vụ tình báo về các mối đe dọa để tổ chức luôn nhận biết các mối đe dọa đang nổi lên và cung cấp cái nhìn sâu sắc về góc độ tội phạm để giúp họ biết được mức độ nguy hiểm mình phải đối mặt.
Cũng theo kết quả kiểm tra của Bkav, trong số 153 máy chủ này, có 7 máy chủ thuộc các cơ quan nhà nước, 20 máy chủ thuộc doanh nghiệp… Bkav đã gửi tới Cục An toàn Thông tin, Bộ TT&TT thông tin chi tiết để Cục An toàn Thông tin điều phối xử lý cũng như hỗ trợ các cơ quan, đơn vị bị ảnh hưởng.
Đồng thời, để giúp người dùng có thể nhanh chóng kiểm tra hệ thống của mình có nằm trong vòng nguy hiểm hay không, Bkav cung cấp công cụ RDP Server Checker tại http://tools.whitehat.vn/. Quản trị chỉ cần nhập địa chỉ IP của mình vào công cụ để kiểm tra xem IP đó có thuộc danh sách hay không.
Nếu IP của bạn thuộc danh sách, việc đầu tiên cần làm là đổi mật khẩu truy cập, đóng toàn bộ các phiên truy cập hiện có. Sau đó, rà soát lại toàn bộ server xem có gì bất thường không, đồng thời thiết lập chính sách đăng nhập chặt chẽ hơn với những server bắt buộc truy cập từ IP Public.
Nếu IP của bạn không thuộc danh sách có thể bị ảnh hưởng bởi vụ việc này, để đảm bảo an ninh chung bạn cũng nên rà soát lại hệ thống của mình.
-----------------------
[Update ngày 17/06/2016] Có 70.624 máy chủ Remote Desktop Protocol (RDP) được rao bán trên thị trường chợ đen xDedic và giá chỉ 6 USD cho mỗi quyền truy cập, trong đó có 841 máy chủ ở Việt Nam.
-----------------------
Hiện đang có 70.624 máy chủ Remote Desktop Protocol (RDP) được rao bán trên mạng. Trong đó có nhiều máy chủ cấp quyền truy cập đến những trang web thương mại, các dịch vụ và đang chạy nhiều phần mềm cài đặt dành cho việc gửi mail trực tiếp, kế toán tài chính và Point-of-Sale (PoS).
Theo Kaspersky, các chuyên gia của hãng đã tiến hành điều tra một diễn đàn quốc tế - nơi tội phạm mạng có thể mua bán quyền truy cập vào các máy chủ bị xâm nhập với giá chỉ 6 USD cho mỗi quyền truy cập. Thị trường xDedic – có vẻ được điều hành bởi nhóm tội phạm mạng nói tiếng Nga, hiện đang có 70.624 máy chủ Remote Desktop Protocol (RDP) được rao bán. Chúng có thể được dùng để tấn công hệ thống hoặc làm bệ phóng cho những cuộc tấn công lớn hơn, trong khi đó, chủ hệ thống, bao gồm các tổ chức chính phủ, tập đoàn và trường đại học lại biết rất ít hoặc chẳng biết gì về chuyện đang xảy ra.
xDedic là một ví dụ điển hình cho kiểu chợ đen mới của tội phạm mạng. Nơi đây được tổ chức, hậu thuẫn tốt và cấp quyền truy cập dễ dàng, nhanh chóng vào hệ thống tổ chức hợp pháp với chi phí thấp cho bất kì tội phạm mạng nào, kể cả từ cấp độ nhập môn đến băng nhóm APT nhằm che giấu hành động phi pháp càng lâu càng tốt.
Chuyên gia từ Kaspersky cho biết, một nhà cung cấp dịch vụ Internet ở châu Âu (ISP) đã cảnh báo về sự tồn tại của xDedic và họ đã làm việc với nhau để điều tra cách diễn đàn hoạt động. Quá trình này đơn giản và ti mỉ: hacker đột nhập vào máy chủ, thường là thông qua các cuộc tấn công brute-force, và mang về các thông tin cho xDedic. Các máy chủ bị hack sau đó được kiểm tra cấu hình RDP, bộ nhớ, phần mềm, lịch sử duyệt web và nhiều hơn nữa - tất cả các tính năng mà khách hàng có thể tìm kiếm trước khi mua hàng.
Sau đó, chúng được thêm vào một danh mục trực tuyến bao gồm quyền truy cập vào: Máy chủ thuộc mạng lưới chính phủ, tập đoàn và trường đại học; Máy chủ được gắn thẻ để có quyền truy cập hoặc lưu trữ các trang web và dịch vụ nhất định, bao gồm chơi game, cá cược, hẹn hò, mua sắm trực tuyến, ngân hàng và thanh toán trực tuyến, mạng điện thoại di động, ISP và trình duyệt; Máy chủ với phần mềm được cài đặt sẵn có thể tạo điều kiện cho việc tấn công diễn ra, bao gồm phần mềm mail trực tiếp, tài chính và PoS; Và tất cả đều được một loạt các công cụ dùng để hack và lấy thông tin hệ thống hỗ trợ.
Chỉ từ 6 USD cho mỗi máy chủ, thành viên diễn đàn xDedic đã có thể truy cập vào tất cả dữ liệu của một máy chủ và sử dụng chúng như nền tảng để tấn công về sau, có thể bao gồm tấn công có chủ đích, phần mềm độc hại, DDoS, lừa đảo bằng email, tấn công bằng kỹ thuật xã hội và adware.
Chủ nhân của những máy chủ hợp pháp, các tổ chức có danh tiếng bao gồm mạng lưới chính phủ, tập đoàn và trường đại học thường không biết rằng hệ thống CNTT của mình đang bị tổn hại. Hơn nữa, một khi chiến dịch hoàn thành, những kẻ tấn công có thể quay lại truy cập vào máy chủ dự phòng để lấy thông tin đem rao bán và toàn bộ quá trình có thể lặp lại một lần nữa.
Thị trường xDedic có vẻ đã hoạt động vào năm 2014 và phát triển lớn mạnh vào giữa năm 2015. Tháng 5/2016, nó đã có một danh sách gồm 70.624 máy chủ từ 173 quốc gia được rao bán với 416 tên người bán khác nhau. Top 10 quốc gia bị ảnh hưởng gồm có: Brazil, Trung Quốc, Nga, Ấn Độ, Tây Ban Nha, Ý, Pháp, Úc, Nam Phi và Malaysia.
Đứng sau xDedic có vẻ là nhóm tội phạm mạng nói tiếng Nga và Kaspersky cam đoan rằng chúng chỉ cung cấp nơi giao dịch và không có bất kì ràng buộc nào với người bán.
Theo khuyến nghị từ các chuyên gia, các tổ chức nên cài đặt một giải pháp an ninh thiết thực như một phần của hệ thống an ninh CNTT toàn diện và đa tầng. Luôn bắt buộc sử dụng mật khẩu có độ mạnh cao trong quá trình xác thực máy chủ. Liên tục thực hiện quy trình quản lý các bản vá lỗi. Tiến hành kiểm toán an ninh hệ thống CNTT thường xuyên. Đồng thời, xem xét đầu tư dịch vụ tình báo về các mối đe dọa để tổ chức luôn nhận biết các mối đe dọa đang nổi lên và cung cấp cái nhìn sâu sắc về góc độ tội phạm để giúp họ biết được mức độ nguy hiểm mình phải đối mặt.
Theo Dân trí, Bkav
Chỉnh sửa lần cuối bởi người điều hành: