แคสเปอร์สกี้ แลป เปิดโปง xDedic ขบวนการใต้ดิน ซื้อขายแอคเซสเซิร์ฟเวอร์กว่า 70,000 รายการทั่วโลก รวมไทย

แคสเปอร์สกี้ แลป สืบสวนสืบสาวเรื่องราวเข้าไปยังฟอรั่มที่มีขนาดใหญ่ระดับโลก อันเป็นแหล่งที่อาชญากรไซเบอร์ทำการซื้อขายแอคเซส หรือการเข้าถึงเซิร์ฟเวอร์ที่ถูกเจาะระบบแล้ว ได้ในสนนราคาเพียงเซิร์ฟเวอร์ละ $6 เท่านั้น  ตลาดซื้อขายที่เรียกว่า “xDedic marketplace”  ปัจจุบันมีเซิร์ฟเวอร์ที่ถูกแฮกขึ้นรายการพร้อมจำหน่ายแอคเซสในแบบ Remote Desktop Protocol (RDP) อยู่ถึง 70,624 เซิร์ฟเวอร์เลยทีเดียว

คอสติน ไรอู ผู้อำนวยการทีมวิเคราะห์และวิจัย (Global Research and Analysis Team หรือ GReAT) ของแคสเปอร์สกี้ แลป กล่าวว่า "ตลาด xDedic ถือเป็นอีกหนึ่งหลักฐานยืนยันว่าอาชญากรรมไซเบอร์เพื่อบริการ หรือ cybercrime-as-a-service นั้นกำลังขยายขอบเขตผ่านระบบนิเวศเชิงพานิชย์และแพลตฟอร์มการซื้อขายสินค้า การที่มีสินค้ารูปแบบนี้ทำให้การกระทำความผิดเจาะเข้าระบบเป็นเรื่องง่ายสำหรับทุกคน จะเป็นใครก็ได้ แม้แต่อาชญากรมือใหม่ทักษะต่ำ ไปจนแบบที่มีการหนุนหลังระดับประเทศให้ทำ APTs ก่อความเสียหายขนาดใหญ่ แต่ลงทุนต่ำ ได้ผลเร็ว เหยื่อไม่ใช่เพียงกลุ่มคอนซูมเมอร์หรือองค์กรเป้าหมายอีกแล้ว แต่รวมถึงเจ้าของเซิร์ฟเวอร์ที่ไม่รู้เนื้อรู้ตัวถึงภัยอันตรายเลย แม้เซิร์ฟเวอร์อาจจะถูกแฮกซ้ำแล้วซ้ำเล่าหลายรอบก็อาจจะยังไม่รู้ด้วยซ้ำไป ทั้งๆ ที่เกิดขึ้นอยู่ใต้จมูกนั่นเอง”

คาดการณ์ว่าตลาดซื้อขาย xDedic นี้น่าจะเริ่มเปิดทำการเมื่อประมาณปี 2014 และเติบโตขยายตัวอย่างรวดเร็วช่วงกลางปี 2015 ในเดือนพฤษภาคม ปี 2016 พบว่ามีเซิร์ฟเวอร์ที่ถูกแฮกนำมาตั้งแอคเซสขายถึง 70,624 รายการจากประเทศต่างๆ จำนวน 173 ประเทศทั่วโลก เสนอขายโดยพ่อค้าในชื่อต่างๆ กันถึง 416 ราย ประเทศที่ติดโผ 10 อันดับต้นๆ ได้แก่ บราซิล จีน รัสเซีย อินเดีย สเปน อิตาลี ฝรั่งเศส ออสเตรเลีย แอฟริกาใต้ และมาเลเซีย สำหรับประเทศไทยนั้นอยู่ในอันดับที่ 22 เลยทีเดียว ด้วยจำนวนเซิร์ฟเวอร์ที่ถูกแฮกแล้ว 1,148 รายการ (ข้อมูลเมื่อเดือนพฤษภาคม 2016)

ด้วยราคาเพียงเซิร์ฟเวอร์ละ $6 สมาชิกฟอรั่ม xDedic ก็มีแอคเซสไปยังข้อมูลทั้งหมดบนเซิร์ฟเวอร์ และยังสามารถใช้เป็นแพลตฟอร์มในการจู่โจมกระทำการมุ่งร้ายอื่นๆ ต่อไปได้อีก ซึ่งอาจจะรวมถึงการจู่โจมแบบตั้งเป้าหมายชัดเจน (targeted attacks) มัลแวร์ DDoS ฟิชชิ่ง การจู่โจมโดยอาศัยพฤติกรรมเชิงสังคม (social-engineering) และแอดแวร์ก็รวมอยู่ด้วย

กลุ่มแฮกเกอร์ที่ใช้ภาษารัสเซีย ส่วนมากจะโฮสต์เซิร์ฟเวอร์หรือให้แอคเซสต่อไปยังเว็บไซต์ของคอมซูมเมอร์และบริการที่เป็นที่นิยม บางตัวถึงกับมีซอฟต์แวร์สำหรับไดเร็คเมล บัญชีการเงิน และการทำ Point-of-Sale (PoS) ลงไว้แล้วด้วย อาชญากรจึงใช้เป็นช่องทางสะดวกในการเข้าแทรกซึมโจมตีโครงสร้างระบบ หรือใช้เป็นฐานกระทำการโจมตีในวงกว้างต่อไปได้ง่ายๆ เหยื่อเจ้าของเซิร์ฟเวอร์อาจจะเป็นหน่วยงานภาครัฐ บริษัทองค์กรธุรกิจ หรือสถาบันการศึกษา ที่แทบจะไม่รู้ตัวเลยว่าเกิดอะไรขึ้นกับเซิร์ฟเวอร์ของตน

ตลาด xDedic เป็นตัวอย่างที่ชัดเจนอย่างยิ่งของตลาดกลางตัวใหม่ของเหล่าอาชญากรไซเบอร์ ด้วยมีการบริหารจัดการและได้รับการสนับสนุนอย่างดี และมีสินค้าให้เลือกหลากหลายสำหรับทุกระดับฝีมือทุกวัยตั้งแต่เริ่มต้นหัดแฮกจนถึงระดับสูง ราคาถูก และแอคเซสเข้าโครงสร้างองค์กรที่ถูกกฎหมายไม่ยาก และซุ่มกระทำการผิดกฎหมายต่างๆ โดยหลบการตรวจจับให้นานสุดเท่าที่จะนานได้ 

ผู้ให้บริการอินเทอร์เน็ตแถบยุโรปและบริษัทที่ร่วมมือกันสอบสวนสืบค้นวิธีการปฏิบัติงานของฟอรั่มนี้ได้แจ้งมายังแคสเปอร์สกี้ แลปเรื่อง xDedic พบว่า กระบวนการทำงานนั้นเรียบง่ายและตรงไปตรงมา แฮกเกอร์เจาะเข้าเซิร์ฟเวอร์ โดยมากมักใช้การใช้กำลังเข้าหักหาญจู่โจม และฉกเอาข้อมูลลับสำคัญต่างๆ ส่งต่อมายัง xDedic จากนั้นจะทำการรื้อค้นเซิร์ฟเวอร์ที่ถูกแฮกเพื่อตรวจดู ค่า RDP หน่วยความจำ ซอฟต์แวร์ ไล่ดูประวัติการท่องออนไลน์ ฟีเจอร์ทั้งหมดที่ลูกค้าจะถามหาก่อนที่จำตกลงซื้อขาย หลังจากนั้น ก็จะถูกขึ้นรายการเป็นสินค้าไว้ขายออนไลน์ที่มีแอคเซสไปยังที่ต่างๆ

Share this Article: