Dokładnie 10 dolarów — tylko kosztują w sieci Tor poświadczenia logowania RDP do różnych systemów, które są używane przez lotniska i nie tylko. To wszystko bez użycia exploitów 0-day lub zaawansowanego ataku phishingowego.

Zespół badaczy z firmy McAfee odkrył w sieci Tor bazary sprzedające poświadczenia logowania do systemów przez protokół RDP umożliwiający dowolnemu użytkownikowi zalogowanie się do komputera za pośrednictwem graficznego interfejsu. W niewłaściwych rękach taki dostęp może być spożytkowany do pobrania listy pasażerów lub innych danych, zaszyfrowania plików ransomwarem, zainstalowania koparek kryptowalut lub sparaliżowania lotniska po przejęciu kontroli nad systemami.    

RDP

Sprzedawane loginy i hasła nie pochodzą z kradzieży, a są wynikiem zwykłego researchu: przestępcy korzystają z publicznie dostępnych narzędzi, takich jak wyszukiwarka Shodan i oprogramowanie Hydra, NLBrute lub RDP Forcer do łamania metodą słownikową haseł i loginów. Częste wycieki poświadczeń ułatwiają budowanie bazy potencjalnych poprawnych par loginów i haseł, a zespoły ds. bezpieczeństwa nie zawsze utrudniają życie włamywaczom.

Najprężniej działającą grupą w tym biznesie jest BlackPass. Badaczom udało się ustalić, że handlują poświadczeniami RDP, SSH, danymi z kart płatniczych, poświadczeniami bankowymi, kont e-mail, PayPal i sklepów online.

1

Wśród tych wszystkich informacji znalazły się dane logowania do systemu łączącego terminale odprawy pasażerów i transportu na lotnisku, do którego dostęp sprzedawano za jedyne… 10 dolarów — bez specjalistycznego exploita i bez przeprowadzania jakiegokolwiek skomplikowanego ataku.

Systemy takie jak te nie powinny być łatwo dostępne z Internetu. Najlepiej zabezpieczyć je uwierzytelnieniem 2FA i ograniczyć nieudane próby logowania. A jeśli to możliwe, to najlepiej w ogóle wyłączyć dostęp RDP z zewnątrz. Atak może zacząć się od środka organizacji, dlatego logowanie informacji przekazywanych przez pracowników w sieci lotniska jest absolutnie konieczne. Warto też sobie uświadomić, że nawet najbardziej nowoczesne systemy nie zagwarantują bezpieczeństwa, jeśli sieć nie będzie monitorowana od wewnątrz i od zewnątrz. 

AUTOR:

Adrian Ścibor

Tagi
Podziel się

Dodaj komentarz