Хакеры 100 часов под наблюдением взламывали компьютеры

Исследователи развернули несколько серверов Windows, настроенных с использованием протокола удаленного рабочего стола или RDP, сообщает TechCrunch. Благодаря этому хакеры могут легко управлять скомпрометированными серверами, как если бы они были обычными пользователями. 

Благодаря этим приманкам исследователи зарегистрировали 190 миллионов событий и 100 часов видеозаписей, на которых хакеры получают контроль над серверами и выполняют на них ряд действий, включая разведку, установку вредоносного ПО для добычи криптовалют, использование эмуляторов Android, подбор паролей для других компьютеров, сокрытие личности хакеров с помощью приманки в качестве отправной точки для новой атаки и даже просмотр порнографических роликов. Исследователи говорят, что хакер, успешно вошедший в сервер, может сгенерировать «десятки событий» в одиночку. 

«По сути, это как камера наблюдения для системы RDP, потому что мы видим все», — говорит Андреанн Бержерон, доктор философии из Монреальского университета. 

Интересно, что исследователи классифицировали хакеров на основе типов персонажей Dungeons and Dragons. 

«Рейнджеры» тщательно исследовали взломанные компьютеры, производя разведку, иногда меняя пароли. В основном они на этом и останавливались. 

«Варвары» используют скомпрометированные компьютеры-приманки, чтобы попытаться взломать другие компьютеры, используя списки взломанных имен пользователей и паролей, иногда используя такие инструменты, как Masscan, законный инструмент, который позволяет пользователям сканировать порты всего интернета. 

«Волшебники» используют приманку в качестве платформы для подключения к другим компьютерам, пытаясь скрыть свои следы и фактическое происхождение своих атак.

Наконец, «Барды» — это хакеры с очень небольшими или почти нулевыми навыками. Они выходили на приманки, чтобы использовать Google для поиска вредоносных программ и порно. Эти хакеры иногда использовали сотовые телефоны вместо стационарных или портативных компьютеров для подключения к приманкам. 

Исследователи пришли к выводу, что возможность наблюдать, как хакеры взаимодействуют с этим типом приманок, может быть полезна для правоохранительных органов или группы защиты от киберугроз. 

Хакеры взламывают не только приманки, но и друг друга. Специалисты компании Kasada обнаружили новую кампанию, в ходе которой используются вредоносные файлы конфигурации OpenBullet для заражения других хакеров трояном удаленного доступа (Remote Access Trojan, RAT). Он способен красть персональные данные.