นักวิจัยจากแคสเปอร์สกี้ แลปได้ทำการสืบสวนสืบสาวเรื่องราวเข้าไปยังฟอรั่มที่มีขนาดใหญ่ระดับโลก อันเป็นแหล่งที่อาชญากรไซเบอร์ทำการซื้อขายแอคเซส หรือการเข้าถึงเซิร์ฟเวอร์ที่ถูกเจาะระบบแล้ว ได้ในสนนราคาเพียงเซิร์ฟเวอร์ละ $6 เท่านั้น ตลาดซื้อขายที่เรียกว่า “xDedic marketplace” นี้ดูเหมือนจะควบคุมจัดการโดยกลุ่มแฮกเกอร์ที่ใช้ภาษารัสเซีย ปัจจุบันมีเซิร์ฟเวอร์ที่ถูกแฮกขึ้นรายการพร้อมจำหน่ายแอคเซสในแบบ Remote Desktop Protocol (RDP) อยู่ถึง 70,624 เซิร์ฟเวอร์เลยทีเดียว ส่วนมากจะโฮสต์เซิร์ฟเวอร์หรือให้แอคเซสต่อไปยังเว็บไซต์ของคอมซูมเมอร์และบริการที่เป็นที่นิยม บางตัวถึงกับมีซอฟต์แวร์สำหรับไดเร็คเมล บัญชีการเงิน และการทำ Point-of-Sale (PoS) ลงไว้แล้วด้วย อาชญากรจึงใช้เป็นช่องทางสะดวกในการเข้าแทรกซึมโจมตีโครงสร้างระบบ หรือใช้เป็นฐานกระทำการโจมตีในวงกว้างต่อไปได้ง่ายๆ เหยื่อเจ้าของเซิร์ฟเวอร์อาจจะเป็นหน่วยงานภาครัฐ บริษัทองค์กรธุรกิจ หรือสถาบันการศึกษา ที่แทบจะไม่รู้ตัวเลยว่าเกิดอะไรขึ้นกับเซิร์ฟเวอร์ของตน
ตลาด xDedic เป็นตัวอย่างที่ชัดเจนอย่างยิ่งของตลาดกลางตัวใหม่ของเหล่าอาชญากรไซเบอร์ ด้วยมีการบริหารจัดการและได้รับการสนับสนุนอย่างดี และมีสินค้าให้เลือกหลากหลายสำหรับทุกระดับฝีมือทุกวัยตั้งแต่เริ่มต้นหัดแฮกจนถึงระดับสูง ราคาถูก และแอคเซสเข้าโครงสร้างองค์กรที่ถูกกฎหมายไม่ยาก และซุ่มกระทำการผิดกฎหมายต่างๆ โดยหลบการตรวจจับให้นานสุดเท่าที่จะนานได้
ผู้ให้บริการอินเทอร์เน็ตแถบยุโรปและบริษัทที่ร่วมมือกันสอบสวนสืบค้นวิธีการปฏิบัติงานของฟอรั่มนี้ได้แจ้งมายังแคสเปอร์สกี้ แลปเรื่อง xDedic พบว่า กระบวนการทำงานนั้นเรียบง่ายและตรงไปตรงมา แฮกเกอร์เจาะเข้าเซิร์ฟเวอร์ โดยมากมักใช้การใช้กำลังเข้าหักหาญจู่โจม และฉกเอาข้อมูลลับสำคัญต่างๆ ส่งต่อมายัง xDedic จากนั้นจะทำการรื้อค้นเซิร์ฟเวอร์ที่ถูกแฮกเพื่อตรวจดู ค่า RDP หน่วยความจำ ซอฟต์แวร์ ไล่ดูประวัติการท่องออนไลน์ ฟีเจอร์ทั้งหมดที่ลูกค้าจะถามหาก่อนที่จำตกลงซื้อขาย หลังจากนั้น ก็จะถูกขึ้นรายการเป็นสินค้าไว้ขายออนไลน์ที่มีแอคเซสไปยังที่ต่างๆ อาทิ:
- เซิร์ฟเวอร์ที่อยู่บนเครือข่ายหน่วยงานภาครัฐ องค์กรธุรกิจ และสถาบันการศึกษา
- เซิร์ฟเวอร์ที่ถูกแท็กให้มีแอคเซสเข้า หรือโฮสติ้งเว็บไซต์และบริการ รวมทั้งเกมมิ่ง การพนัน การนัดเดท ช้อปปิ้งออนไลน์ ธุรกรรมการเงินออนไลน์ เครือข่ายโทรศัพท์มือถือ ผู้ให้บริการอินเทอร์เน็ต และบราวเซอร์
- เซิร์ฟเวอร์ที่ลงซอฟต์แวร์ไว้แล้วที่ใช้ช่วยให้เจาะจู่โจมได้สะดวกขึ้น ได้แก่ ไดเร็คเมล ซอฟต์แวร์ด้านบัญชีและ PoS
- ทั้งหมดนี้ได้รับการสนับสนุนพรั่งพร้อมด้วยทูลข้อมูลเกี่ยวกับระบบและวิธีการแฮก
ด้วยราคาเพียงเซิร์ฟเวอร์ละ $6 สมาชิกฟอรั่ม xDedic ก็มีแอคเซสไปยังข้อมูลทั้งหมดบนเซิร์ฟเวอร์ และยังสามารถใช้เป็นแพลตฟอร์มในการจู่โจมกระทำการมุ่งร้ายอื่นๆ ต่อไปได้อีก ซึ่งอาจจะรวมถึงการจู่โจมแบบตั้งเป้าหมายชัดเจน (targeted attacks) มัลแวร์ DDoS ฟิชชิ่ง การจู่โจมโดยอาศัยพฤติกรรมเชิงสังคม (social-engineering) และแอดแวร์ก็รวมอยู่ด้วย
เจ้าของที่ถูกต้องตามกฎหมายของเซิร์ฟเวอร์ อาจเป็นหน่วยงานองค์กรที่เป็นที่เชื่อถือ เครือข่ายหน่วยงานภาครัฐ องค์กรธุรกิจ และมหาวิทยาลัย มักจะไม่รู้ตัวว่าโครงสร้างไอทีของตนนั้นไม่ปลอดภัยแล้ว ยิ่งไปกว่านั้น เมื่อเจาะเข้ามาในระบบได้แล้วครั้งหนึ่ง อาชญากรสามารถเอาแอคเซสนั้นขึ้นเซิร์ฟเวอร์แบคอัพเอาไว้จำหน่าย ทำให้โดนบุกเข้าระบบซ้ำๆ ได้อีก
คาดการณ์ว่าตลาดซื้อขาย xDedic นี้น่าจะเริ่มเปิดทำการเมื่อประมาณปี 2014 และเติบโตขยายตัวอย่างรวดเร็วช่วงกลางปี 2015 ในเดือนพฤษภาคม ปี 2016 พบว่ามีเซิร์ฟเวอร์ที่ถูกแฮกนำมาตั้งแอคเซสขายถึง 70,624 รายการจากประเทศต่างๆ จำนวน 173 ประเทศทั่วโลก เสนอขายโดยพ่อค้าในชื่อต่างๆ กันถึง 416 ราย ประเทศที่ติดโผ 10 อันดับต้นๆ ได้แก่ บราซิล จีน รัสเซีย อินเดีย สเปน อิตาลี ฝรั่งเศส ออสเตรเลีย แอฟริกาใต้ และมาเลเซีย สำหรับประเทศไทยนั้นอยู่ในอันดับที่ 22 เลยทีเดียว ด้วยจำนวนเซิร์ฟเวอร์ที่ถูกแฮกแล้ว 1,148 รายการ (ข้อมูลเมื่อเดือนพฤษภาคม 2016)
กลุ่มแฮกเกอร์ผู้อยู่เบื้องหลัง xDedic นี้ใช้ภาษารัสเซียในการสื่อสาร และอ้างว่าตนเพียงแต่จัดหาแพลตฟอร์มเพื่อการซื้อขายเท่านั้นเอง และไม่มีส่วนเกี่ยวโยงหรือเกี่ยวข้องใดๆ กับผู้ที่นำสินค้ามาเสนอขายในฟอรั่ม
“ตลาด xDedic ถือเป็นอีกหนึ่งหลักฐานยืนยันว่าอาชญากรรมไซเบอร์เพื่อบริการ หรือ cybercrime-as-a-service นั้นกำลังขยายขอบเขตผ่านระบบนิเวศเชิงพานิชย์และแพลตฟอร์มการซื้อขายสินค้า การที่มีสินค้ารูปแบบนี้ทำให้การกระทำความผิดเจาะเข้าระบบเป็นเรื่องง่ายสำหรับทุกคน จะเป็นใครก็ได้ แม้แต่อาชญากรมือใหม่ทักษะต่ำ ไปจนแบบที่มีการหนุนหลังระดับประเทศให้ทำ APTs ก่อความเสียหายขนาดใหญ่ แต่ลงทุนต่ำ ได้ผลเร็ว เหยื่อไม่ใช่เพียงกลุ่มคอนซูมเมอร์หรือองค์กรเป้าหมายอีกแล้ว แต่รวมถึงเจ้าของเซิร์ฟเวอร์ที่ไม่รู้เนื้อรู้ตัวถึงภัยอันตรายเลย แม้เซิร์ฟเวอร์อาจจะถูกแฮกซ้ำแล้วซ้ำเล่าหลายรอบก็อาจจะยังไม่รู้ด้วยซ้ำไป ทั้งๆ ที่เกิดขึ้นอยู่ใต้จมูกนั่นเอง” คอสติน ไรอู ผู้อำนวยการทีมวิเคราะห์และวิจัย (Global Research and Analysis Team หรือ GReAT) ของแคสเปอร์สกี้ แลปกล่าว