較早前有電腦保安公司發現 529 部香港伺服器的權限在黑市「xDedic」出售。事後香港電腦保安事故協調中心 (HKCERT)稱,他們已取得 160 部肇事伺服器的 IP 地址,有關機構亦很可能已發生嚴重的資料外洩事故。
卡巴斯基日前宣佈發現販賣伺服器權限的地下黑市「xDedic」,最低售價僅為 6 美元,529 台香港伺服器亦涉及其中。
HKCERT:160 部伺服器或有嚴重資料外洩
HKCERT 稱他們已取得 160 部被入侵的香港伺服器的 IP 地址。由於他們不清楚伺服器如何被罪犯利用,而操作這些伺服的機構亦很有可能已發生嚴重的資料外洩事故,包括洩露財務及敏感資料,他們已於 21/6 通知相關 ISP,並建議 ISP 儘快通知這些客戶。
HKCERT 指「xDedic」會為買家在肇事伺服器安裝木馬和 POS 惡意軟件,助他們進行欺詐交易、使用盗取的登入資料偽冒其他人登入網絡服務、發送垃圾郵件、進行 DDoS 攻擊和盜取財務資料;亦會安裝 Bitcoin 開採工具消耗伺服器的處理效能。HKCERT 提醒大眾,如要確定伺服器是否被入侵用作買賣,可檢查是否受以下惡意軟件感染:
- SCCLIENT 木馬(/Windows/System32/scclient.exe),並登記為服務
- xDedic Socks System(\AppData\Local\Temp\pxsrvc\pxsrvc.exe)
- 如 DUBrute 及 XPC 用作暴力破解其他伺服器的工具(被偵測為 Hacktool.Win32.Bruteforce)
不過,由於不同買家對被入侵伺服器用途不一,即使找不到上述惡意軟件,技術人員仍需檢查伺服器會否受其他惡意軟件感染。
HKCERT 現正與卡巴斯基跟進有關事宜,並建議技術人員對被入侵的伺服器採取以下措施:
- 若收到通知或偵測到伺服器被入侵,請即時從網絡隔離該伺服器。
- 由於買家可於伺服器安裝任何軟件或作修改,就算任何惡意軟件已移除,亦不能保證伺服器完全修復。他們建議刪除所有資料並重新安裝伺服器的操作系統。
- 若伺服器安裝處理財務或敏感資料的軟件,需評估財務或敏感資料外洩的風險,甚至考慮根據機構政策上報事故。
- 檢查同一網絡內其他電腦。有需要時要評估這些電腦/伺服器資料外洩的風險,並執行緩解措施(例如掃描電腦、重設所有密碼等)。