Les connexions de bureau à distance sont un aimant si puissant pour les pirates qu’une connexion exposée peut en moyenne plus de 37 000 fois par jour à partir de diverses adresses IP.
Durant cette phase, les attaques sont automatisées. Mais une fois qu’ils ont obtenu les bons identifiants d’accès, les pirates commencent à rechercher manuellement les fichiers importants ou sensibles.
Les hackers envahissent RDP
Une expérience utilisant des pots de miel à haute interaction avec une connexion RDP accessible depuis le Web public montre à quel point les attaquants sont implacables et qu’ils opèrent selon un horaire quotidien très similaire aux heures de bureau.
En trois mois, les chercheurs de GoSecure, une société de recherche et de réponse aux menaces dont le siège est aux États-Unis et au Canada, ont enregistré près de 3,5 millions de tentatives de connexion à leur système de pot de miel RDP.
Andreanne Bergeron, chercheuse en cybersécurité chez GoSecure, a expliqué lors de la conférence sur la cybersécurité NorthSec à Montréal, au Canada, que les pots de miel sont liés à un programme de recherche qui vise à comprendre les stratégies des attaquants qui pourraient être traduites en conseils de prévention.
Le pot de miel fonctionne par intermittence depuis plus de trois ans et fonctionne régulièrement depuis plus d’un an mais les données collectées pour la présentation ne représentent que trois mois, entre le 1er juillet et le 30 septembre 2022.
Pendant ce temps, le pot de miel a été touché 3 427 611 fois à partir de plus de 1 500 adresses IP. Cependant, le nombre d’attaques pour l’année entière a atteint 13 millions de tentatives de connexion.
Pour aiguiser l’appétit des attaquants, les chercheurs ont nommé le système pour qu’il semble faire partie du réseau d’une banque.
Comme prévu, les tentatives de compromis reposaient sur des attaques par force brute basées sur plusieurs dictionnaires et le nom d’utilisateur le plus courant était « Administrateur » et ses variantes (par exemple, version courte, langue différente ou casse des lettres).
Dans quelque 60 000 cas, cependant, l’attaquant a fait quelques reconnaissances avant d’essayer de trouver la bonne connexion et a exécuté des noms d’utilisateur qui ne sont manifestement pas à leur place dans l’ensemble ci-dessous.
Bergeron a expliqué que les trois noms d’utilisateur impairs dans l’image ci-dessus sont liés au système de pot de miel (noms du certificat RDP et de l’hôte, et du fournisseur d’hébergement).
La présence de ces données dans les 12 premiers noms de connexion essayés indique qu’au moins certains des pirates n’ont pas testé aveuglément les paires d’informations d’identification pour se connecter, mais ont d’abord recueilli des informations sur la victime.
Bergeron nous a dit que le système collectait les hachages des mots de passe et que les chercheurs étaient capables de rétablir les plus faibles. Les résultats ont montré que la stratégie la plus courante consistait à utiliser une variante du certificat RDP, suivie de variantes du mot « mot de passe » et d’une simple chaîne de dix chiffres maximum.
Une observation intéressante lors de la corrélation de ces statistiques avec les adresses IP d’attaque est que le nom du certificat RDP a été utilisé exclusivement dans les tentatives de connexion à partir d’adresses IP en Chine (98 %) et en Russie (2 %).
Cependant, cela ne signifie pas nécessairement que les attaquants sont originaires des deux pays mais qu’ils utilisent des infrastructures dans les deux régions.
Une autre observation est que de nombreux attaquants (15 %) ont combiné des milliers de mots de passe avec seulement cinq noms d’utilisateur.
Une journée de travail normale
L’implication humaine dans l’attaque est devenue plus évidente après cette phase initiale de force brute lorsque les pirates ont commencé à fouiner dans le système à la recherche de données précieuses.
En approfondissant les données, Bergeron a créé une carte thermique pour les adresses IP ciblant le pot de miel et a remarqué que l’activité formait un schéma quotidien avec des pauses indiquant que les pirates faisaient une pause.
De nombreuses activités s’étendent sur quatre heures et jusqu’à huit heures, bien que certaines sessions aient duré jusqu’à 13 heures. Cela suggère une intervention humaine, au moins pour lancer les attaques, et semble suivre un calendrier quelconque.
Le fait que l’activité de force brute s’est arrêtée pendant les jours de week-end ajoute du poids à cette observation, suggérant peut-être que les attaquants traitent l’activité de piratage comme un travail régulier.
Il convient de noter qu’il s’agissait de tentatives de connexion automatisées qui ne nécessitaient pas de surveillance humaine une fois le script correctement modifié.
Dans un exemple, Bergeron a remarqué un intervalle de huit heures entre les attaques et en a déduit que cela pourrait indiquer un attaquant travaillant par quarts.
La touche humaine et le niveau de sophistication étaient également visibles dans les attaques personnalisées pour la cible (14%) ainsi que dans l’ajout d’un délai entre chaque tentative de connexion, pour imiter l’activité d’une personne réelle.
L’implication humaine dans l’attaque est devenue plus évidente après cette phase initiale de force brute lorsque les pirates ont commencé à fouiner dans le système à la recherche de données précieuses.
Bien que les chercheurs aient réduit la difficulté de connexion sur le pot de miel avec la paire d’informations d’identification « admin/admin », Bergeron a déclaré à Breachtrace que seuls 25 % des pirates ont commencé à explorer la machine à la recherche de fichiers importants.
Bergeron a également déclaré que le pot de miel était vide, ce qui explique probablement pourquoi seulement un quart des attaquants s’attardaient à rechercher des données. Cependant, la prochaine étape de la recherche consisterait à remplir le serveur de faux fichiers d’entreprise et à surveiller les mouvements et les actions de l’attaquant.
Pour enregistrer et stocker les données d’attaque, qui comprennent les flux vidéo en direct de la session RDP de l’adversaire, la recherche a utilisé PyRDP, un outil d’interception open source développé chez GoSecure par Olivier Bilodeau, directeur de recherche en cybersécurité de l’entreprise et président de la conférence NorthSec.
La conférence d’Andreanne Bergeron à NorthSec cette année s’intitule « Humain vs Machine : Le niveau d’interaction humaine dans les attaques automatisées ciblant le protocole de bureau à distance ». Tous les exposés des deux étapes de la conférence sont disponibles sur la chaîne YouTube de NorthSec.