O campanie la nivel global care țintește serviciile Remote Desktop Protocol (RDP) din Statele Unite a demarat pe 8 octombrie și utilizează peste 100.000 de adrese IP compromise din diverse țări, potrivit investigațiilor firmelor care monitorizează traficul malițios. Când RDP a fost introdus, a fost văzut ca o legătură utilă între administratori și serverele la distanță; în prezent aceeași legătură atrage actorii care caută acces neautorizat, iar această campanie ilustrează bine riscurile actuale.
Cercetătorii GreyNoise au semnalat atacurile după ce au observat un vârf de trafic neobișnuit inițial din Brazilia, urmat de activitate similară din Argentina, Iran, China, Mexic, Rusia, Africa de Sud, Ecuador și alte state. Analiza arată un botnet transnațional care scanează și exploatează punctele de acces RDP din SUA. Majoritatea adreselor IP implicate prezintă aceleași semnături TCP, iar diferențele notate în Maximum Segment Size par să corespundă unor clustere distincte din rețea, ceea ce susține ipoteza unei operațiuni coordonate la scară largă.
Atacatorii aplică două tehnici principale legate de RDP. Prima, atacuri de tip timing asupra RD Web Access, constă în sondarea endpoint-urilor RD Web Access și măsurarea variațiilor de timp în fluxurile de autentificare anonimă pentru a deduce numele de utilizator valide. A doua metodă presupune enumerarea conturilor prin fluxul de autentificare al RDP Web Client: interacțiuni repetate cu acest flux permit observarea comportamentului serverului și a răspunsurilor distincte, ceea ce dezvăluie conturi existente. Ambele tehnici sunt discrete și nu necesită, inițial, compromiterea unui sistem; ele exploatează felul în care serverele reacționează la cereri diferite.
Datele publicate indică că peste 100 de țări găzduiesc dispozitive compromise în acest botnet, explicând astfel distribuția geografică largă a atacurilor. În consecință, echipele de securitate și administratorii de rețea trebuie să supravegheze jurnalele RDP pentru semne de scanare sau încercări de enumerare și să blocheze adresele IP identificate ca sursă a acestor probe. Detectarea timpurie a acestor tipare de trafic poate împiedica escaladarea către tentative de autentificare forțată sau exploatare.
Recomandările practice rămân aceleași și merită reiterate: evitați expunerea directă a unei conexiuni Remote Desktop către internetul public, configurați accesul printr-un VPN și introduceți autentificarea multi-factor pentru conturile care pot iniția sesiuni RDP. Aceste măsuri nu garantează securitate absolută, dar oferă straturi suplimentare de protecție care reduc considerabil riscul unei compromiteri rapide.
GreyNoise a detectat primul vârf din Brazilia, iar faptul că semnătura TCP e comună pentru multe IP-uri sugerează utilizarea unui instrument sau a unui kit comun de către operatorii botnetului. Practic, asta înseamnă că blocarea unor plaje extinse de IP-uri și actualizarea frecventă a listelor de blocare, alături de analiza comportamentală a traficului, pot constitui tactici eficiente pentru diminuarea impactului.
Campania scoate în evidență două aspecte cheie: pe de o parte, necesitatea configurării corecte a serviciilor ce permit accesul la distanță; pe de altă parte, caracterul distribuit și adaptabil al amenințărilor moderne, care pot porni din regiuni geografice neașteptate și pot folosi tehnici subtile de recunoaștere. Pentru organizațiile care operează servere Windows, este momentul să revizuiască politicile de acces, să îmbunătățească măsurile de autentificare și să activeze monitorizarea fluxurilor RDP.
GreyNoise a raportat inițial vârful din Brazilia. Cum îți verifici concret setările RDP și cine din echipa ta trebuie să acționeze astăzi?
Cum verifici rapid setările RDP pe un server Windows (ce audit logs să cauți, ce porturi să scanezi, cum testezi RD Web Access pentru timing/enumerare fără să blochezi tot traficul) și cine din echipa ta ar trebui să se ocupe imediat de asta (netops, sysadmin, secops sau cine altcineva)?