Una scoperta dell’agenzia McAfee fa luce sui problemi di sicurezza informatica degli aeroporti internazionali
Gli esperti dell’azienda di sicurezza McAfee hanno scoperto un fiorente mercato degli accessi a sistemi compromessi sparsi in tutti il mondo ed accessibili attraverso il protocollo RDP.
I ricercatori hanno analizzato diversi black market nel dark web che offrono da 15 a oltre 40.000 accessi RDP a sistemi compromessi, il più grande è il servizio russo Ultimate Anonymity Service (UAS).
Il secondo più grande mercato specializzato nell’offerta di accessi RDP è BlackPass, un black market in cui è possibile trovare la più ampia varietà di prodotti.
Altri black market nel dark web sono Flyded e xDedic che è stato scoperto dagli esperti di Kaspersky nel giugno 2016.
I criminali informatici sfruttano sempre più spesso le connessioni RDP nei loro attacchi, molte campagne recenti hanno sfruttato accessi a sistemi mediante il protocollo RDP per distribuire malware, come nel caso delle infezioni del ransomware SamSam.
Per questo motivo è semplice trovare nel dark web ed in crime forum degli accessi RDP a sistemi in reti di alto valore per meno di $1, oppure servizi di scansione per i sistemi accessibili online.
L’offerta è molto variegata, nei i principali mercati si trovano sistemi di ogni genere, da Windows XP a Windows 10. Gli esperti hanno notato che i sistemi basati su Windows 2008 e 2012 Server sono i più popolari rispettivamente con 11.000 e 6.500 accessi disponibili.
“I sistemi pubblicizzati variavano da Windows XP a Windows 10. Windows 2008 e 2012 Server erano i sistemi più numerosi, con rispettivamente circa 11.000 e 6.500 accessi RDP alle macchine in vendita”, si legge nell’analisi pubblicata da McAfee.
“I prezzi variavano da circa $3 per una semplice configurazione a $19 per un sistema a banda larga che offriva l’accesso con diritti di amministratore”.
Gli esperti hanno anche trovato accessi RDP a sistemi basati su Windows Embedded Standard (o Windows IOT), le offerte dei black market UAS Shop e BlackPass erano caratterizzate da centinaia di macchine configurate in modo identico ed associate a comuni, strutture alberghiere e istituzioni sanitarie nei Paesi Bassi. L’offerta di tali mercati comprende anche diversi sistemi governativi in tutto il mondo.
10 dollari per avere accesso a un aeroporto internazionale
Analizzando il mercato USA, i ricercatori hanno scoperto una macchina basata su Windows Server 2008 R2 standard recentemente aggiunta al listino e disponibile per soli $10 che si trovava in uno dei principali aeroporti internazionali degli Stati Uniti.
Il venditore offriva il sistema con tre account utente pre-configurati, l’account dell’amministratore e altri due associati a un’azienda specializzata in sicurezza aeroportuale e automazione degli edifici e con un’ altro relativo ad una azienda specializzata in videosorveglianza per aeroporti.
Questo genere di accessi rappresenta una seria minaccia perché offre ad un attaccante un punto di ingresso all’interno di un’infrastruttura critica, punto di partenza per movimenti laterali nella rete ospite che potrebbero portare alla compromissione di sistemi critici in essa ospitati.
“Non abbiamo esplorato l’intero livello di accesso di questi account, ma un sistema compromesso potrebbe offrire un importante punto ingresso all’attaccante e la possibilità di spostamenti laterali attraverso la rete utilizzando strumenti come Mimikatz”, ha spiegato McAfee.
Proseguendo nell’analisi, i ricercatori hanno trovato un account su un altro sistema associato a un dominio che sembra essere correlato ad un “sistema di trasporto automatizzato di un aeroporto, ovvero il sistema di trasporto passeggeri che collega i terminali”.
“Ora sappiamo che gli attaccanti, come il gruppo SamSam, possono effettivamente utilizzare un negozio RDP per ottenere l’accesso a una potenziale vittima di una campagna ransomware. Abbiamo scoperto che l’accesso a un sistema associato a un grande aeroporto internazionale può essere acquistato per soli $10, senza sfruttare nessuna zero-day, elaborate campagne di phishing o attacchi di watering hole” concludono i ricercatori.
“I governi e le organizzazioni spendono miliardi di dollari ogni anno per proteggere i sistemi informatici di cui ci fidiamo. Ma neppure la soluzione più avanzata può proteggerci quando si lascia aperta una porta di accesso oppure gli accessi sono scarsamente protetti.”
