Posté le décembre 12, 2020 à 16:57
DES MILLIERS D’IDENTIFIANTS RDP D’UN GRAND AÉROPORT VENDUS SUR LE DARKWEB
Un rapport récent a révélé que les certificats de systèmes dans un aéroport international étaient vendus pour seulement 10 dollars. Selon les administrateurs de l’aéroport qui ont vérifié l’authenticité des références, les références volées permettent la construction de systèmes d’automatisation et le contrôle des systèmes liés à la sécurité.
Selon le rapport, les informations volées concernaient le protocole RDP (Remote Desktop Protocol) de l’aéroport, qui permet aux employés de travailler à distance sur des ordinateurs.
Depuis plusieurs années, le groupe de ransomware SamSam utilise les identifiants RDP pour lancer des attaques sur les systèmes.
Des milliers d’identifiants RDP mis en vente
Selon The Verge, une société de langue russe a vendu des milliers d’ordinateurs piratés aux États-Unis. Parmi les ordinateurs piratés, on compte ceux qui sont utilisés pour les systèmes d’automatisation des bâtiments et ceux qui sont liés à la sécurité des aéroports.
McAfee a découvert la vente et a immédiatement lancé une enquête clandestine sur les marchés où les systèmes de sécurité sont vendus.
Depuis plusieurs années, Microsoft apprend aux administrateurs système à utiliser le protocole Remote Desktop pour contrôler d’autres systèmes informatiques.
Mais il semble que les administrateurs système ne soient pas le seul groupe à rechercher ces connaissances. Plusieurs cybercriminels ont commencé à cibler les systèmes compatibles avec le protocole RDP, car ils les utilisent pour mener à bien divers projets de piratage.
Selon le rapport, un site en langue russe connu sous le nom de « Ultimate Anonymity Service » a donné accès à plus de 40 000 systèmes RDP. Si certains d’entre eux sont basés aux États-Unis, beaucoup d’entre eux sont des serveurs Windows.
Les chercheurs de McAfee ont révélé qu’au cours de leur enquête, les hackers vendent une configuration simple pour 3 dollars et une configuration de système à large bande passante pour seulement 19 dollars. La configuration donne à l’acheteur un accès aux droits d’administrateur.
Systèmes de sécurité compromis
Selon les chercheurs de McAfee, l’ensemble du processus de piratage des données par les hackers n’a pas été trop compliqué comme prévu. Les chercheurs ont déclaré que ces hackers parcourent généralement le web pour trouver des systèmes qui répondent aux connexions RDP. Une fois qu’ils trouvent de tels systèmes, ils lancent une attaque par la force brute en utilisant des outils de craquage de mots de passe très populaires.
Après avoir compromis et volé les détails, ils se rendent sur le marché anonyme pour vendre leur butin. Cela conduit à une augmentation de la cybercriminalité, car ceux qui achètent les détails volés peuvent lancer leur attaque à l’avenir.
Le grand aéroport utilise un système aéroportuaire vulnérable
Un serveur infiltré peut être utilisé comme une voie de lancement pour créer des spams. Avec le serveur infiltré, les acteurs malveillants peuvent envoyer des logiciels malveillants ; il peut être utilisé pour exploiter la cryptomonnaie à l’insu du propriétaire.
Dans le cas de cyber-attaques plus graves, les acteurs de la menace peuvent infecter un serveur avec un logiciel de rançon ou voler toutes les données du serveur compromis. Cette attaque peut donner lieu à d’autres attaques dans le futur qui peuvent aboutir à des vols et des fraudes d’identité.
Selon les chercheurs de McAfee, les systèmes aéroportuaires touchés ont été proposés à la vente comme accès à des serveurs Windows. Cependant, après une enquête plus approfondie, la société de cybersécurité a découvert que le système aéroportuaire vulnérable utilisait les adresses IP d’un grand aéroport.
Le même serveur vulnérable a également fait l’objet d’une fuite sur Internet, car il utilise des comptes d’utilisateurs connectés à deux sociétés spécialisées dans la sécurité aéroportuaire.
Une autre chose surprenante est le fait que le marché clandestin où sont vendues ces références volées existe et fonctionne depuis quelques années.
Les administrateurs système devraient utiliser l’authentification à double facteur
Conformément aux dernières découvertes, McAfee a recommandé que les administrateurs de système utilisent toujours une authentification à deux facteurs et des mots de passe compliqués pour protéger leurs systèmes, en particulier sur les systèmes dotés de capacités d’accès à distance.
En outre, les connexions RDP doivent être protégées par un pare-feu et les administrateurs système doivent effectuer un contrôle régulier pour découvrir à temps les tentatives de connexion inhabituelles.
Il y a deux mois, NBC News a diffusé un reportage sur la découverte faite par la société de cybersécurité Trustwave. Selon le rapport, Trustwave a attrapé un hacker qui vendait 245 millions de dossiers de données personnelles et 186 millions de dossiers d’électeurs américains sur le dark web.
La société est impliquée dans des enquêtes sur le dark web, et elle a attrapé d’autres hackers qui vendent des informations d’identification similaires sur le dark web.