Un botnet multi-pays utilisant plus de 100 000 adresses IP a commencé à cibler les services du protocole de bureau à distance aux États-Unis le 8 octobre. Les chercheurs de la plateforme de surveillance des menaces GreyNoise suivent cette campagne à grande échelle, qui, selon eux, est lancée par le vaste botnet. Remote Desktop Protocol (RDP) est un protocole réseau qui permet la connexion et le contrôle à distance des systèmes Windows. Il est couramment utilisé par les administrateurs, le personnel du service d’assistance et les travailleurs à distance. Les attaquants ciblent fréquemment le protocole en recherchant les ports RDP ouverts, en tentant des connexions par force brute, en exploitant les vulnérabilités ou en effectuant des attaques temporelles pour obtenir un accès non autorisé. Pour cette campagne, les chercheurs de GreyNoise ont découvert que le botnet utilisait deux techniques d’attaque spécifiques liées au RDP pour énumérer les comptes d’utilisateurs. Les méthodes comprennent :
- Attaques de timing RD Web Access : Ces sondes mesurent les différences de temps de réponse lors des flux d’authentification anonymes sur les points de terminaison RD Web Access pour déduire des noms d’utilisateur valides.
- Énumération de connexion du client Web RDP : Cette technique interagit avec le flux de connexion du client Web RDP, observant les différences de comportement et de réponses du serveur pour identifier les comptes d’utilisateurs.
GreyNoise en premier détecté la campagne après avoir observé un pic de trafic inhabituel en provenance du Brésil. Une activité similaire a ensuite été enregistrée en Argentine, en Iran, en Chine, au Mexique, en Russie, en Afrique du Sud et en Équateur. Selon la société, la liste complète des pays dans lesquels des appareils compromis participent au botnet dépasse désormais la centaine.
Image : GrisNoiseUne analyse technique a révélé que presque toutes les adresses IP attaquantes partagent une empreinte TCP commune. Bien que les chercheurs aient noté des variations dans la taille maximale des segments, ils pensent que ces différences sont dues aux différents clusters de machines compromises qui constituent l’infrastructure du botnet. Pour se défendre contre cette activité, il est recommandé aux administrateurs système de bloquer les adresses IP lançant les attaques et d’examiner les journaux système à la recherche de recherches RDP suspectes. En tant que bonne pratique générale en matière de sécurité, les services RDP ne doivent pas être exposés directement à l’Internet public. L’ajout d’un VPN et d’une authentification multifacteur (MFA) fournit une couche de protection supplémentaire.
