Így működik egy alvilági piactér

​Az egyik internetes hackerfórumon több mint 1,3 millió kiszolgálóhoz tartozó jelszó vált elérhetővé. A lopott adatok elemzése sok érdekességet hozott a felszínre.
 

Az UAS az egyik legnagyobb olyan alvilági piactér, ahol tulajdonképpen minden típusú lopott adat megvásárolható. A működése bizonyos szempontból hasonlít például az eBay-re, hiszen ezen az oldalon is saját "boltot" regisztrálhatnak az adattolvajok, és ilyen módon értékesíthetik a portékájukat. A kialakított rendszer képes az áruba bocsátott adatok ellenőrzésére, valamint az értékesítések nyomon követésére is. Emellett az UAS-on minden vásárlónak jár a technikai támogatás, így ha bármiféle gond támadna a megvásárolt adatokkal, vagy azok felhasználásához segítségre lenne szükség, akkor az eladók gyorsan elérhetők. Mindez azt jelenti, hogy a biztonsági incidensek során kiszivárgó adatok köré egy nagyméretű, jól szervezet feketepiac épült ki.
 
A biztonsági kutatók szerint csak akkor lehet felvenni a kesztyűt a kiberbűnözőkkel, ha ismerjük a módszereiket és a gondolkodásmódjukat. Ezért az UAS-t is alaposan szemügyre vették annak érdekében, hogy az ott tapasztaltakról beszámolhassanak, és elmondhassák, hogy mi is történik a lopott adatokkal.
 
Az egyik UAS-t vizsgáló kutató Vitali Kremez, az Advanced Intelligence szakértője, aki egy csapat tagjaként 2018 óta követi figyelemmel az UAS működését. Ez idő alatt a szakértői csapat több mint 1,3 millió RDP, azaz távoli asztali kapcsolatokhoz tartozó hitelesítő adatot (felhasználónevet, jelszót) gyűjtött össze az alvilági piactérről. Ezt egy olyan adatbázisba foglalta össze, amelynek révén az RDPwned nevű szolgáltatáson keresztül a szervezetek ellenőrizhetik, hogy a kiszolgálóik áldozatul estek-e támadásoknak. Hasonló módon, mint ahogy például a Have I Been Pwned weboldal is működik incidensekben érintett e-mail címek (illetve újabban telefonszámok) esetében.
 
A szakemberek a lopott RDP-adatok elemzésével számos érdekességre világítottak rá. Kiderült például, hogy a szerverekhez való hozzáférés manapság nem egy drága mulatság, ugyanis egy-egy szerverhez való, érvényes felhasználónév/jelszó páros tipikusan 70 dollár alatt megvásárolható az UAS-on. Ugyanakkor sok esetben akár már 3 dollárért is lehet lopott adatokhoz jutni. Ha pedig valaki ilyen útra téved, és így próbál szervereket kompromittálni, akkor sajnos számos károkozásra nyílhat lehetősége. A kiszolgáltatottá vált szervereken keresztül hozzáférhet teljes hálózatokhoz, adatokat lophat vagy manipulálhat, rendszereket béníthat meg, de akár zsarolóvírus alapú támadást is indíthat. Manapság a legtöbb ismert, zsarolóprogramok terjesztésével foglalkozó banda támogatja az RDP-alapú károkozásokat. Az FBI szerint a hálózati támadások (különösen, amelyek zsarolással végződnek) akár 70-80 százaléka is kompromittált távoli asztali kapcsolatokon keresztül következik be.
 
Toplisták
 
A biztonsági kutatók a feketepiacon megforduló adatok elemzése során néhány érdekes kimutatást is készítettek:
 
A leggyakrabban kiszivárgott felhasználónevek:

• Administrator
• Admin
• User
• test
• scanner
• scan
• Guest
• IME_ADMIN
• user1
• Administrador
• Trader
• postgres

 
A leggyakrabban kiszivárgott jelszavak:

• 123456
• 123  
• P@ssw0rd
• 1234
• Password1
• 1
• password
• 12345
• admin
• Admin@123
• User

 
A leginkább érintett országok:

• Amerikai Egyesült Államok
• Kína
• Brazília
• Németország
• India
• Egyesült Királyság
• Franciaország
• Spanyolország
• Kanada

 
A fenti jelszólistából látható, hogy a feketekalapos hackereknek sokszor nincs nehéz dolguk, hiszen nem elég, hogy gyakran akadnak olyan szerverekre, amelyek RDP-kapcsolatot internet felől minden korlátozás nélkül fogadnak, de sokszor még a jelszavak erőssége is borzasztó.
 
Az RDP-alapú támadások kivédéséhez célszerű a távoli asztali kapcsolatokat például VPN-nel védeni, erős (akár többfaktoros) hitelesítési eljárásokat bevezetni, és szigorú kontrollokkal, valamint monitorozással felvértezni azokat.