Dokładnie 10 dolarów — tylko kosztują w sieci Tor poświadczenia logowania RDP do różnych systemów, które są używane przez lotniska i nie tylko. To wszystko bez użycia exploitów 0-day lub zaawansowanego ataku phishingowego.
Zespół badaczy z firmy McAfee odkrył w sieci Tor bazary sprzedające poświadczenia logowania do systemów przez protokół RDP umożliwiający dowolnemu użytkownikowi zalogowanie się do komputera za pośrednictwem graficznego interfejsu. W niewłaściwych rękach taki dostęp może być spożytkowany do pobrania listy pasażerów lub innych danych, zaszyfrowania plików ransomwarem, zainstalowania koparek kryptowalut lub sparaliżowania lotniska po przejęciu kontroli nad systemami.
Sprzedawane loginy i hasła nie pochodzą z kradzieży, a są wynikiem zwykłego researchu: przestępcy korzystają z publicznie dostępnych narzędzi, takich jak wyszukiwarka Shodan i oprogramowanie Hydra, NLBrute lub RDP Forcer do łamania metodą słownikową haseł i loginów. Częste wycieki poświadczeń ułatwiają budowanie bazy potencjalnych poprawnych par loginów i haseł, a zespoły ds. bezpieczeństwa nie zawsze utrudniają życie włamywaczom.
Najprężniej działającą grupą w tym biznesie jest BlackPass. Badaczom udało się ustalić, że handlują poświadczeniami RDP, SSH, danymi z kart płatniczych, poświadczeniami bankowymi, kont e-mail, PayPal i sklepów online.
Wśród tych wszystkich informacji znalazły się dane logowania do systemu łączącego terminale odprawy pasażerów i transportu na lotnisku, do którego dostęp sprzedawano za jedyne… 10 dolarów — bez specjalistycznego exploita i bez przeprowadzania jakiegokolwiek skomplikowanego ataku.
Systemy takie jak te nie powinny być łatwo dostępne z Internetu. Najlepiej zabezpieczyć je uwierzytelnieniem 2FA i ograniczyć nieudane próby logowania. A jeśli to możliwe, to najlepiej w ogóle wyłączyć dostęp RDP z zewnątrz. Atak może zacząć się od środka organizacji, dlatego logowanie informacji przekazywanych przez pracowników w sieci lotniska jest absolutnie konieczne. Warto też sobie uświadomić, że nawet najbardziej nowoczesne systemy nie zagwarantują bezpieczeństwa, jeśli sieć nie będzie monitorowana od wewnątrz i od zewnątrz.
