Web-cайт предлагает удаленный доступ к корпоративным ПК

Web-cайт предлагает удаленный доступ к корпоративным ПК

Эксперт в области информационной безопасности и известный исследователь интернет-угроз по имени Брайан Кребс (Brian Krebs) поделился с читателями своего блога весьма интересной информацией. Специалист обнаружил русскоязычный веб-сайт, предлагающий своим клиентам услуги удаленного доступа к нескольким тысячам скомпрометированных серверов и компьютеров в разных странах мира.

За скромную плату в размере нескольких долларов, любой желающий сможет подключиться к рабочему столу удаленного компьютера по протоколу Remote Desktop Protocol (RDP). В списке доступных систем можно обнаружить компьютеры, принадлежащие крупным международным предприятиям, включая ряд компаний из списка Fortune 500.

Сайт под названием Dedicatexpress.com предоставляет свои услуги под лозунгом «Весь мир в одном сервисе» и активно рекламируется на многочисленных подпольных хакерских ресурсах. В настоящее время посетителям предлагается доступ к 17 000 компьютеров и серверов по всему миру, пишет soft.mail.ru.

Работа сайта организована следующим образом. Хакеры передают владельцам ресурса похищенные реквизиты доступа к удаленным системам и получают комиссионные с их последующей сдачи в аренду. Брайану Кребсу удалось идентифицировать наиболее активных поставщиков, которые скрываются под никами «lopster» (12,254 проданных серверов) и «_sz_» (6,645 систем). Стоит отметить, что продавцы могут оговаривать правила использования скомпрометированных машин, к примеру, запретить их использование для азартных игр в «онлайне» или осуществления мошеннических операций с платежной системой PayPal.

Регистрация на сайте стоит всего $20, после чего новый пользователь получает доступ к обширной коллекции доступных систем. Стоимость RDP-доступа к компьютерам и серверам может начинаться с нескольких долларов и зависит от целого ряда критериев, таких как тактовая частота процессора удаленной системы и количество процессорных ядер, поддерживаемая скорость передачи данных, а также продолжительность пребывания системы в «онлайне». В ходе проведенного расследования эксперт установил, что доступ к системам, принадлежащим таким международным корпорациям, как Microsoft и Cisco, можно получить всего за $4,55.

Брайан Кребс также уточняет, что владельцы сайта предпочитают не связываться с RDP-серверами, принадлежащими российским компаниям. Такая позиция позволяет им избегать конфликтов с местными властями. По словам специалиста, российские правоохранительные органы смотрят на деятельность группировки киберпреступников «сквозь пальцы».

Сайт Dedicatexpress.com, основанный в 2010 году, за два года своего существования предоставил клиентам доступ к 300 000 различных систем. Любопытно, что в том же 2010 году исследователи впервые обнаружили вредоносное приложение под названием Georbot Trojan. Этот троян сканирует зараженный компьютер на наличие установленных средств удаленного доступа, после чего крадет имена пользователей и пароли и передает их своему хозяину. А недавно специалисты из компании ESET столкнулись с модифицированной версией вируса, которая, в случае недоступности основного контролирующего сервера передает информацию с захваченного компьютера на резервный сервер, зарегистрированный в Грузии.

Чаще всего жертвами хакеров становятся беспечные владельцы компьютеров, которые не соблюдают даже элементарных мер предосторожности. К примеру, для доступа к упомянутым выше системам, принадлежащим корпорации Cisco, используются легко угадываемые имя пользователя и пароль — «Cisco». Впрочем, даже сложные имена пользователей и пароли не являются непреодолимым препятствием для киберпреступников.

Напомним, что встроенная поддержка технологии RDP была впервые представлена в операционной системе Windows XP Professional и с тех пор присутствует в каждой новой версии ОС. Нынешним пользователям соответствующее программное обеспечение известно под именем Remote Desktop Services (серверная версия) и Remote Desktop Connection (клиентская версия). Из соображений безопасности многие специалисты рекомендуют пользователям удалять указанные инструменты или активировать их лишь в случае необходимости.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новая атака Opossum позволяет внедрять данные в TLS-сессии

Исследователи обнаружили новый вектор атаки под названием Opossum. Он позволяет злоумышленнику вмешиваться в якобы защищённую сессию TLS — при этом шифрование никто не взламывает.

Атака работает за счёт несогласованности между двумя режимами TLS: «implicit» (например, HTTPS на порту 443, где защита включается сразу) и «opportunistic» (например, HTTP на порту 80, где защита активируется позже через апгрейд-запрос).

Используя это отличие, атакующий может вызвать рассинхронизацию между клиентом и сервером, после чего — незаметно встроить в канал поддельные данные.

Сценарий простой: клиент подключается к HTTPS, но злоумышленник перенаправляет его запрос на порт HTTP, сам инициирует апгрейд до TLS, а затем тайно синхронизирует обе сессии.

В итоге и клиент, и сервер думают, что всё идёт по плану — хотя злоумышленник в любой момент может подменить сообщения или задержать ответы.

Opossum базируется на принципах вектора атаки ALPACA, но работает даже там, где меры против ALPACA уже внедрены. Это делает «опоссума» особенно опасным, поскольку он бьёт не по самому TLS, а по логике взаимодействия приложений.

 

Эксперты говорят: отключить opportunistic TLS — не вариант, особенно на почтовых серверах и старых системах. Лучше изолировать порты и режимы TLS, а также включить проверку соответствия между протоколом и портом. Можно дополнительно отслеживать подозрительные апгрейд-заголовки.

Главный вывод — зрелые протоколы вроде TLS всё ещё могут быть уязвимыми из-за архитектурных нюансов. И чтобы не стать жертвой атак вроде Opossum, стоит внимательно относиться ко всем уровням стека безопасности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru