Zum Schnäppchenpreis: Hacker verkaufen RDP-Zugang von Flughafen-Server im Darknet

Zum Schnäppchenpreis: Hacker verkaufen RDP-Zugang von Flughafen-Server im Darknet

Sicherheitsforscher des Advanced Threat Research-Teams von McAfee befassten sich mit Darknet-Marketplaces und fanden dort gleich eine ganze Reihe von Angeboten, die gestohlenen Zugang zu verschiedenen Systemen von Unternehmen und Gruppen anbieten, wobei ein einzelnes kompromittiertes System auf mehreren Shops erscheinen kann. Besonders beunruhigend war unter anderem der Zugang zu den Systemen eines großen internationalen Flughafens, die für den niedrigen Preis von nur 10 Dollar gekauft werden konnten. McAfee sagte, der Darknetshop biete Zugang zu den Sicherheitssystemen des Flughafens sowie zu den Systemen für Gebäudeautomation, Überwachung und Transit.

Der betreffende Darknetshop verkaufte Zugang zum Remote-Desktop-Protokoll (RDP) des Flughafens. Dieses gewährt Mitarbeitern den Fernzugriff auf bestimmte Computer im Netzwerk des Flughafens: “Dieser Zugang könnte es Cyberkriminellen ermöglichen, im Wesentlichen alles zu tun, was sie wollen – falsche Alarmmeldungen an das interne Sicherheitsteam senden, Spam verschicken, Daten und Zugangsdaten stehlen, Kryptowährung minen oder sogar einen Ransomware-Angriff auf das Unternehmen durchführen”, sagte McAfee. Die jüngsten SamSam-Ransomware-Angriffe nutzten häufig RDP-Schwachstellen, um Zugang zu Netzwerken zu erhalten.

Aus Sicherheitsgründen hat McAfee den Flughafen oder andere Unternehmen, zu denen er bei der Suche die Anmeldeinformationen gefunden hat, nicht öffentlich bekannt gegeben. Er hat sie jedoch über den Vorfall unterrichtet. Inzwischen hat die Flughafen-Administration die Authentizität der Zugangsdaten bestätigt und dafür gesorgt, dass das Sicherheitsleck geschlossen wurde.

McAfee äußert sich zu weiteren aufgespürten RDP-Logins im Darknet: „Wir sind auch auf mehrere Regierungssysteme gestoßen, die weltweit verkauft werden und zu Dutzenden von Verbindungen zu Gesundheitseinrichtungen, von Krankenhäusern und Pflegeheimen bis hin zu Anbietern von medizinischer Ausrüstung. Die betroffenen Systeme umfasssen sämtliche Windows-Versionen. Windows 2008 und 2012 Server waren mit rund 11.000, bzw. 6.500 verkauften Systemen, am häufigsten vertreten. Die Preise reichten von etwa 3 Dollar für eine einfache Konfiguration bis hin zu 19 Dollar.”

Top-Verwendungen gehackter RDP-Zugänge

False Flag:
Die Verwendung von RDP-Zugriff zum Erstellen von False Flags ist eine der häufigsten Anwendungen. Während die Anonymität gewahrt bleibt, kann ein Angreifer den Eindruck erwecken, als ob seine illegale Aktivität von dem Computer des Opfers ausgeht und somit eine “falsche Flagge” für Ermittler und Sicherheitsforscher erzeugt. Angreifer können diese Flagge implementieren, indem sie bösartigen Code auf dem Computer des Opfers kompilieren, absichtlich falsche Debugging-Pfade erstellen und Compiler-Environment-Traces ändern.

Spam:
Genau wie Spammer riesige Botnets, wie Necrus und Kelihos, verwenden, ist der RDP-Zugang bei einer Untergruppe von Spammern beliebt. Einige der Systeme, die zum Verkauf im Darknet angeboten werden, werden aktiv für Massenmailing-Kampagnen beworben, und fast alle Shops bieten einen kostenlosen Blacklist-Check an, um zu sehen, ob die Systeme von SpamHaus und anderen Antispam-Organisationen markiert wurden.

Kontenmissbrauch, Sammeln von Anmeldeinformationen und Erpressung:
Durch den Zugriff auf ein System über RDP können Angreifer fast alle auf einem System gespeicherten Daten abrufen. Diese Informationen können für Identitätsdiebstahl, Kontoübernahmen, Kreditkartenbetrug und Erpressung usw. verwendet werden.

Cryptomining:
In einigen kriminelle Foren hat McAfee Threads gefunden, die Monero-Mining als eine Verwendung für kompromittierte RDP-Maschinen aktiv bewerben.

Ransomware:
Die große Mehrheit der Ransomware wird immer noch durch Phishing-E-Mails und Exploit-Kits verbreitet. Es ist jedoch bekannt, dass spezialisierte kriminelle Gruppen, wie SamSam, das RDP verwenden, um leicht in die Netzwerke ihrer Opfer einzudringen, die fast unbemerkt bleiben.

Wie die Hacker an die Passwörter für den Flughafen gekommen sind, ist bisher noch fraglich. McAfee geht von einem Brute-Force-Angriff aus. Hier probiert eine Software in schneller Abfolge verschiedene Zeichenkombinationen solange aus, bis ein Login erfolgreich war. Die Methode wird in der Praxis häufig erfolgreich eingesetzt, da viele Benutzer kurze Passwörter verwenden, die darüber hinaus oft nur aus Buchstaben des Alphabets bestehen, womit die Anzahl der möglichen Kombinationen drastisch reduziert und so das Erraten erleichtert wird.

Während man für ein Passwort, bestehend aus 5 Zeichen (3 Kleinbuchstaben, 2 Zahlen): Mögliche Kombinationen ( = mögliche Zeichenzahl hoch Kennwortlänge): 36 hoch 5 = 60.466.176 noch folgende benötigte Zeit zum Entschlüsseln braucht: 60.466.176 / 2.000.000.000 = 0,03 Sekunden, benötigt man bereits für 12 Zeichen (3 Großbuchstaben, 4 Kleinbuchstaben, 3 Sonderzeichen, 2 Zahlen): Mögliche Kombinationen: 94 hoch 12 = 75.920.314.814.253.376.475.136 die folgende Entschlüsselungszeit: 475.920.314.814.253.376.475.136 / 2.000.000.000 = 237.960.157.407.127 Sekunden = ca. 7,5 Millionen Jahre. In den Beispielen wird mit einer Generierung von 2 Milliarden Schlüsseln pro Sekunde gerechnet, da dies ungefähr der Geschwindigkeit eines sehr starken Einzelrechners entspricht. Beim Erstellen eines Passworts stehen in der Regel folgende Zeichen zur Verfügung: Zahlen (10 verschiedene: 0-9), Buchstaben (52 verschiedene: A-Z und a-z) Sonderzeichen (32 verschiedene).

Auch auf RDP-Logins sind Brute-Force-Angriffe unter Hackern beliebt und weit verbreitet und mittels verfügbarer Tools, wie Hydra, NLBrute oder RDP Forcer, relativ einfach ausführbar. Angreifer scannen damit das Internet nach Systemen, die RDP-Verbindungen akzeptieren und starten dann den Angriff, um an die Zugangsdaten zu gelangen. Mit Hilfe der Tools werden Passwort-Wörterbücher mit konkreten Anmeldeinformationen, die Hacker vermuten oder erbeuten, miteinander kombiniert. Solche Angriffe ließen sich bei Verwendung von Techniken, wie einer Zwei-Faktor-Authentifizierung, bei der die Zugangsdaten des RDP-Logins alleine nicht ausreichen, um sich anzumelden, leicht vermeiden.

McAfee warnt davor, dass mangelnde Sicherheit ein großes Problem in allen Branchen sei und dass es effektiver angegangen werden müsse: “Regierungen und Organisationen geben jedes Jahr Milliarden von Dollar aus, um die Computersysteme zu sichern, denen wir vertrauen. Aber selbst eine State-of-the-Art-Lösung kann keine Sicherheit bieten, wenn die Hintertür offen gelassen wird oder nur ein einfaches Vorhängeschloss trägt.”

Bildquelle: JESHOOTScom, thx! (CC0 Public Domain)

Related Post

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.