Darknet: Hacker verkaufen RDP-Zugang von Flughafen-Server

Forscher des Advanced Threat Research-Teams von McAfee haben herausgefunden, dass Zugangsberechtigungen für Sicherheits- und Gebäudeautomationssysteme von einem großen internationalen Flughafen für nur 10 Dollar im Darknet verkauft werden. Die Flughafen-Administratoren haben die Authentizität der Zugangsdaten bestätigt und das Sicherheitsleck geschlossen. Um welchen Flughafen es sich dabei handelt, teilt McAfee nicht mit.

Die gestohlenen Zugangsdaten wurden für das Remote Desktop Protocol (RDP) des Flughafens verwendet, das den Mitarbeitern ermöglicht, von außerhalb des lokalen Netzwerks auf bestimmte Computer zuzugreifen. RDP-Anmeldeinformationen sind unter Cyberkriminellen sehr begehrt, denn dadurch muss ein Angreifer keine ausgeklügelte Phishing-Kampagne erstellen, in die Verschleierung von Malware investieren, ein Exploit-Kit verwenden oder sich um die Abwehr von Securitytools kümmern. Sobald Angreifer Zugang erhalten, sind sie im System. Es ist nicht das erste Mal, dass gestohlene RDP-Zugangsdaten im Darknet angeboten werden. Seit Jahren wird dabei Malware wie die SamSam-Ransomware eingesetzt.

Es ist immer noch unklar, wie die Hacker die Anmeldeinformationen des Flughafens erhalten haben. McAfee geht von einer Brute-Force-Attacke aus, bei der Passwörter solange ausprobiert werden, bis ein Login erfolgreich war. Brute-Force-Angriffe auf RDP-Logins sind weit verbreitet und dank verfügbarer Tools sehr leicht durchzuführen. Angreifer scannen damit das Internet nach Systemen, die RDP-Verbindungen akzeptieren und starten einen Brute-Force-Angriff mit gängigen Tools wie Hydra, NLBrute oder RDP Forcer, um an die Zugangsdaten zu kommen. Diese Tools kombinieren Passwort-Wörterbücher mit einer enormen Anzahl von Anmeldeinformationen, die Hacker immer wieder erbeuten.

Dabei lassen sich derartige Angriffe leicht verhindern. Administratoren müssten einfach die Möglichkeit nutzen, die Anzahl der Eingabeversuche zu beschränken. Und nur selten nutzen Administratoren laut McAfee Techniken wie eine Zwei-Faktor-Authentifizierung, bei der die Zugangsdaten des RDP-Logins alleine nicht ausreichen, um sich anzumelden.

Neben dem Flughafen hat McAfee weitere Angebote von RDP-Logins im Darknet gefunden. „Wir sind auch auf mehrere Regierungssysteme gestoßen, die weltweit verkauft werden“, heißt es in McAfee’s Post, „[darunter] Dutzende von Verbindungen zu Gesundheitseinrichtungen, von Krankenhäusern und Pflegeheimen bis hin zu Anbietern von medizinischer Ausrüstung. Die betroffenen Systeme umfasssen sämtliche Windows-Versionen. Windows 2008 und 2012 Server waren mit rund 11000 respektive 6500 verkauften Systemen am häufigsten vertreten. Die Preise reichen von etwa 3 Dollar für eine einfache Konfiguration bis hin zu 19 Dollar.