Um grupo de hackers russos, conhecido como Midnight Blizzard, encontra-se a usar uma rede com 193 sistemas de acesso remoto de ambiente de trabalho, para criar um sistema de proxy para ataques man-in-the-middle (MiTM), com o objetivo de roubar dados sensíveis e credenciais de malware distribuído pela internet.
Os atacantes usam estes sistemas para ativar a ferramenta PyRDP , que pode depois analisar os ficheiros nos sistemas de eventuais vítimas, descobrir quais os dados pertinentes a obter e descarregar os mesmos, bem como executar malware diverso nos sistemas infetados.
De acordo com a empresa de segurança Trend Micro, o grupo foca-se sobretudo para entidades governamentais e militares, com o objetivo de roubar informação sensível de sistemas internos das mesmas. Embora muitas entidades focadas para ataque encontrem-se nos EUA, Alemanha, França, entre outros, Portugal faz parte da lista onde existem também alguns alvos.
O Remote Desktop Protocol (RDP) é um protocolo criado pela Microsoft para permitir o rápido acesso a sistemas remotamente, tal como se os utilizadores estivessem em frente do mesmo. Porém, se usado maliciosamente, este pode ser usado para controlar sistemas comprometidos, e lançar a partir dos mesmos o mais variado cenário de ataques.
A empresa de segurança Trend Micro afirma ter descoberto uma rede de 193 servidores RDP comprometidos, que estariam a ser usados como fachada para ataques mais alargados. Estes sistemas eram depois usados para roubar informações de forma escondida em outros sistemas, e nomeadamente, obter dados sensíveis que poderiam ser usados contra governos ou agências militares.
Uma das linhas de defesa parte por controlar de forma restrita quais os acessos que podem ser feitos a sistemas onde o RDP esteja ativo. Este protocolo é sobretudo usado para servidores remotos e grandes empresas, sendo raramente necessário para utilizadores domésticos.
Nenhum comentário
Seja o primeiro!