Hacklenen yüzlerce büyük firma sadece 20 dolar

yuzlerce_buyuk_firma_tehdit_altindaSiber suç dünyasında sunulan sayısız hizmet ile spesifik kuruluşların hack edilen bilgisayarlarına erişimi satın alma fırsatı sağlanıyor. Sadece birkaç dolar karşılığında, dünyanın en zengin kuruluşu içinde kendi yolunuzu belirlemeniz mümkün bir hal alıyor.

Bu konuyla alakalı olarak incelenen 2010 yıllarının başında kurulmuş bir siber suç hizmeti sağlayan ağ’da, kuruluşundan bu yana 300.000 sistemin giriş çıkışı yapılmış, şu anda ise dünya çapında 17.000 bilgisayara erişim kiralanıyor. Bu satılan makinelerin tümü kendi yasal sahiplerinin kullanıcıya masaüstüne uzaktan erişim sağlayan Microsoft Windows Remote Desktop Protocol-RDP kullandıkları sırada internet üzerinden gelen bağlantıları kabul etmeleriyle ele geçiriliyor. Çıkan son RDP açığı bu sistemleri daha da hedef haline getiriyor.

İş yerleri uzaktan erişim yönetimi gerçekleştirmek istedikleri sunucu ve masaüstü sistemleri için çok sık olarak RDP hizmetini çalıştırmayı tercih ediyorlar ki bir de kolayca tahmin edilebilecek bir kullanıcı adı ve şifre seçmişlerse sistemlerinin satışa çıkarılması an meselesi oluyor.

“Tüm dünya sadece bir serviste” sloganıyla siber suç forumlarında hacklenmiş RDP sunucularının reklamı yapıyor. WebMoney adı verilen sanal para birimi kullanarak 20$ değerinde kayıt ücretini ödeyen ve hizmet sahibiyle online mesajlaşma yoluyla kontağa geçen her yeni müşterisine de sistemlerine erişim hakkını garantiliyor. Hacklenmiş sunucuların fiyatı işlemcinin hızı, işlemci çekirdek sayısı, makinenin indirme ve yükleme hızı, RDP servisinin çevrimiçi olduğu sürenin uzunluğu gibi çok sayıda özelliğe bağlı olarak hesaplanıyor.  Her ne kadar bu şekilde pazarlanmamış olsa da, servis hacklenmiş sayısız RDP sunucuları arasında spesifik bir organizasyondaki bilgisayarlara ulaşmak isteyen kullanıcıları için de bir araştırma opsiyonu sunuyor.

satilik_cisco_rdp_server

 

Hal böyleyken dünyanın en zengin ilk 500 kuruluşu için atanmış IP adresi listesine güvenmemek elde değil. Öyle ki dünyanın ilk 100’ü arasındaki ağ devi Cisco Systems firmasına ait hacklenmiş RDP sunucusu yukarıdaki ekran görüntüsünde görüldüğü gibi 4.55$’a satılmış ve makinenin San Jose, Kaliforniya’da bulunan bir Windows Server 2003 olduğu belirtilmiş. Atanan kimlik bilgilerinin “Kullanıcı adı: Cisco / Şifre: Cisco” şeklinde olması ise hayrete düşürücü. Cisco güvenlik takımından bir yetkili hacklenen RDP sunucusunun Cisco ağından olduğunu doğrulamış fakat makinenin gereksiz bir laboratuar makinesi olduğunu iddia ederek daha fazla detay vermeyi reddetmiş.  Bu makinelerin satışını yapan siteler direkt olarak RDP makinelerini kendilerine satarak komisyon elde eden hackerlarla rdp_sunucu_satici_listesiişbirliği halinde çalışıyor.

Prensiplerinden biri Rusya’dan gelen RDP sunucularını kabul etmemeleri ki bunun sebebi muhtemel olarak sahiplerinin Rus olması ve kendi yasalarıyla ters düşmemek istememeleri. Aşağıdaki ekran görüntüsünde satıcı adlarının yanındaki rakamlar sattıkları sunucu sayısını gösteriyor. Satıcılar sisteme ekledikleri sunucuların ne amaçla kullanabileceğini belirleme hakkına sahip ve çoğunlukla beyan edilen ise RDP sunucularının online kumar, PayPal vb. gibi kişisel aktivitelerde kullanılamayacağı yönünde. Alıcıların hacklenen sistemler üzerindeki yetkisi normal kullanıcı seviyesinde sınırlandırılarak çok sayıda yazılımın indirilmesi engellenmiş oluyor.

Ama endişelenmenin lüzumu yok çünkü operatörler alıcılara “Yeni aldığınız sunucunun yönetiminde herhangi bir problem yaşadığınızda sorununuzu teknik desteğe iletirseniz, size severek yardımcı olacağımızdan emin olabilirsiniz.” garantisini sonuna kadar veriyorlar.