Οι ερευνητές παρακολούθησαν 100 ώρες χάκερ να χακάρουν υπολογιστές honeypot

Φανταστείτε να μπορείτε να καθίσετε πίσω από έναν χάκερ και να τον παρατηρήσετε να παίρνει τον έλεγχο ενός υπολογιστή και να παίζει μαζί του.

Αυτό ακριβώς έκαναν δύο ερευνητές ασφαλείας χάρη σε ένα μεγάλο δίκτυο υπολογιστών που δημιουργήθηκε ως honeypot για τους χάκερ.

Οι ερευνητές ανέπτυξαν αρκετούς διακομιστές

Windows

που εκτέθηκαν σκόπιμα στο Διαδίκτυο, ρυθμισμένους με το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας ή RDP, που σημαίνει ότι οι χάκερ μπορούσαν να ελέγχουν εξ αποστάσεως τους παραβιασμένους διακομιστές σαν να ήταν τακτικοί χρήστες, έχοντας τη δυνατότητα να πληκτρολογούν και να κάνουν κλικ.

Χάρη σε αυτά τα honeypots, οι ερευνητές κατάφεραν να καταγράψουν 190 εκατομμύρια συμβάντα και 100 ώρες βίντεο από χάκερ που έπαιρναν τον έλεγχο των διακομιστών και εκτελούσαν μια σειρά ενεργειών σε αυτούς, όπως αναγνώριση, εγκατάσταση κακόβουλου λογισμικού που εξορύσσει κρυπτονομίσματα, χρησιμοποιώντας εξομοιωτές Android για τη διεξαγωγή απάτη κλικ, ωμή επιβολή κωδικών πρόσβασης για άλλους υπολογιστές, απόκρυψη της ταυτότητας των χάκερ χρησιμοποιώντας το honeypot ως σημείο εκκίνησης για άλλη επίθεση, ακόμη και παρακολούθηση πορνό. Οι ερευνητές είπαν ότι ένας χάκερ που συνδέεται με επιτυχία στο honeypot του μπορεί να δημιουργήσει «δεκάδες συμβάντα» μόνος του.

«Είναι βασικά σαν μια κάμερα παρακολούθησης για το σύστημα RDP γιατί βλέπουμε τα πάντα», είπε η Andréanne Bergeron, η οποία έχει διδακτορικό. στην εγκληματολογία από το Πανεπιστήμιο του Μόντρεαλ, είπε στο TechCrunch.

Η Bergeron, η οποία εργάζεται επίσης για την εταιρεία κυβερνοασφάλειας GoSecure, συνεργάστηκε με τον συνάδελφό της Olivier Bilodeau σε αυτήν την έρευνα. Οι δυο τους παρουσίασαν τα ευρήματά τους την Τετάρτη στο συνέδριο Black Hat για την κυβερνοασφάλεια στο Λας Βέγκας.

Οι δύο ερευνητές ταξινόμησαν τον τύπο των χάκερ με βάση

Μπουντρούμια και δράκοι

τύπους χαρακτήρων.

Οι «Ρέιντζερς», σύμφωνα με τους δύο, εξερεύνησαν προσεκτικά τους χακαρισμένους υπολογιστές, πραγματοποιώντας αναγνώριση, αλλάζοντας μερικές φορές κωδικούς πρόσβασης και κυρίως αφήνοντάς το εκεί. «Η υπόθεσή μας είναι ότι αξιολογούν το σύστημα που παραβίασαν, ώστε ένα άλλο προφίλ εισβολέα να μπορεί να επανέλθει αργότερα», έγραψαν οι ερευνητές στο

μια ανάρτηση ιστολογίου

που δημοσιεύθηκε την Τετάρτη για να συνοδεύσει την ομιλία τους.

Οι «Βάρβαροι» χρησιμοποιούν τους παραβιασμένους υπολογιστές honeypot για να προσπαθήσουν να ασκήσουν ωμή δύναμη σε άλλους υπολογιστές χρησιμοποιώντας γνωστές λίστες χακαρισμένων ονομάτων χρήστη και κωδικών πρόσβασης, μερικές φορές χρησιμοποιώντας εργαλεία όπως το Masscan, ένα νόμιμο εργαλείο που επιτρέπει στους χρήστες να σαρώνουν ολόκληρο το Διαδίκτυο, σύμφωνα με τους ερευνητές. .

Οι «Μάγοι» χρησιμοποιούν το honeypot ως πλατφόρμα για να συνδεθούν με άλλους υπολογιστές σε μια προσπάθεια να κρύψουν τα ίχνη τους και την πραγματική προέλευση των επιθέσεών τους. Σύμφωνα με όσα έγραψαν οι Bergeron και Bilodeau στην ανάρτησή τους στο blog τους, οι αμυντικές ομάδες μπορούν να συγκεντρώσουν πληροφορίες για τις απειλές για αυτούς τους χάκερ και «να φτάσουν βαθύτερα σε παραβιασμένη υποδομή».

Σύμφωνα με τον Bergeron και τον Bilodeau, οι «Κλέφτες» έχουν ξεκάθαρο στόχο τη δημιουργία εσόδων από την πρόσβασή τους σε αυτά τα honeypot. Μπορεί να το κάνουν αυτό εγκαθιστώντας

crypto

miners, προγράμματα για την εκτέλεση απάτης κλικ ή τη δημιουργία ψεύτικης κίνησης σε ιστότοπους που ελέγχουν και πουλώντας την πρόσβαση στο ίδιο το honeypot σε άλλους χάκερ.

Τέλος, οι «Βάρδοι» είναι χάκερ με πολύ λίγες ή σχεδόν καθόλου δεξιότητες. Αυτοί οι χάκερ χρησιμοποίησαν τα honeypot για να χρησιμοποιήσουν το

Google

για να αναζητήσουν κακόβουλο λογισμικό, ακόμη και να παρακολουθήσουν πορνό. Αυτοί οι χάκερ χρησιμοποιούσαν μερικές φορές κινητά τηλέφωνα αντί για επιτραπέζιους ή φορητούς υπολογιστές για να συνδεθούν με τα honeypot. Ο Bergeron και ο Bilodeau είπαν ότι πιστεύουν ότι αυτός ο τύπος χάκερ χρησιμοποιεί μερικές φορές τους παραβιασμένους υπολογιστές για να κατεβάσει πορνό, κάτι που μπορεί να απαγορευτεί ή να λογοκριθεί στη χώρα καταγωγής τους.

Σε μια περίπτωση, ένας χάκερ «κατέβαζε το πορνό και το έστελνε στον εαυτό του μέσω

Telegram

. Οπότε ουσιαστικά παρακάμπτοντας την απαγόρευση του πορνό σε επίπεδο χώρας», είπε ο Bilodeau στο TechCrunch. “Τι νομίζω [the hacker] το κάνει με αυτό και, στη συνέχεια, το κατεβάζει σε ένα

internet

cafe, χρησιμοποιώντας το Telegram, και μετά μπορεί να το βάλει σε κλειδιά USB και μπορεί να το πουλήσει».

Οι Bergeron και Bilodeau κατέληξαν στο συμπέρασμα ότι η δυνατότητα παρατήρησης hackers να αλληλεπιδρούν με αυτόν τον τύπο honeypots θα μπορούσε να είναι πολύ χρήσιμη όχι μόνο για ερευνητές σαν αυτούς, αλλά και για αμυντικές ομάδες επιβολής του νόμου ή κυβερνοασφάλειας – γνωστές και ως blue teams.

«Η επιβολή του νόμου θα μπορούσε νόμιμα να υποκλέψει τα περιβάλλοντα RDP που χρησιμοποιούνται από ομάδες ransomware και να συλλέξει πληροφορίες σε ηχογραφημένες συνεδρίες για χρήση σε έρευνες», έγραψαν οι ερευνητές στην ανάρτηση του ιστολογίου. «Οι μπλε ομάδες από την πλευρά τους μπορούν να καταναλώσουν το [Indicators of Compromise] και να ανοίξουν τις δικές τους παγίδες για να προστατεύσουν περαιτέρω την οργάνωσή τους, καθώς αυτό θα τους δώσει εκτενή τεκμηρίωση για τα επαγγελματικά σκάφη των καιροσκοπικών επιτιθέμενων».

Επιπλέον, εάν οι χάκερ αρχίσουν να υποψιάζονται ότι οι διακομιστές που παραβιάζουν μπορεί να είναι honeypots, θα πρέπει να αλλάξουν στρατηγικές και να αποφασίσουν αν αξίζει τον κόπο οι κίνδυνοι σύλληψης, «οδηγώντας σε επιβράδυνση που τελικά θα ωφελήσει όλους», σύμφωνα με την ερευνητές.

Διαβάστε περισσότερα στο TechCrunch: