Cyberzagrożenia i nowe techniki ataków związanych z RDP
Ataki z wykorzystaniem narzędzi zarezerwowanych do tej pory głównie dla „red teamów” – zespołów zajmujących się symulacją ataków cybernetycznych w celach defensywnych – to obecnie nowa taktyka stosowana przez złośliwe grupy hackerskie. Jednym z przykładów takich działań jest aktywność grupy APT29, powiązanej z Rosją. Cyberprzestępcy ci wdrożyli technikę o nazwie „rogue RDP” – złośliwe użycie konfiguracji protokołu Remote Desktop Protocol (RDP), co w efekcie pozwala na częściowe przejęcie kontroli nad komputerem ofiary. Skutki? Możliwe wycieki danych, instalacja złośliwego oprogramowania, a także przejęcie poufnych informacji.
Ataki skierowane na wysokoprofilowe ofiary
Według raportu firmy Trend Micro, kampania ta była wymierzona w rządy, siły zbrojne, think tanki, naukowców akademickich oraz organizacje na Ukrainie. Zastosowanie techniki „rogue RDP” na tak dużą skalę ukazuje jej potencjał w operacjach cyberszpiegowskich. Owa metoda została już wcześniej omówiona w 2022 roku przez Black Hills Information Security. Mechanizm ataku opiera się na nakłonieniu ofiary do otwarcia złośliwego pliku konfiguracji RDP, pochodzącego najczęściej z fałszywych e-maili phishingowych. Rezultatem było automatyczne połączenie urządzenia ofiary z zainfekowanymi serwerami kontrolowanymi przez hakerów.
W omawianych kampaniach wykorzystano 193 zdalne serwery RDP, które służyły jako przekaźniki. W skali jednego dnia cyberprzestępcom udało się zaatakować aż 200 ofiar. Jednym z głównych narzędzi wykorzystywanych w tej kampanii był projekt o otwartym kodzie źródłowym znany jako PyRDP. Jest to biblioteka stworzona w Pythonie, określana także narzędziem „Monster-in-the-Middle” (MitM), która pozwala na ukrycie się atakujących za fałszywymi serwerami RDP.
Jak działa metoda PyRDP?
Gdy ofiara otwiera załącznik e-maila – skonfigurowany plik RDP nazwany „HUSTLECON” – inicjowane jest połączenie wychodzące z serwerem kontrolowanym przez PyRDP. Oprogramowanie to działa jako przekaźnik między urządzeniem ofiary a serwerem złośliwym, co pozwala hakerom na przejęcie pełnej kontroli nad sesją RDP. Fałszywe serwery RDP podszywają się pod prawdziwe, co ułatwia przeprowadzanie złośliwych czynności, takich jak wdrożenie skryptów, zmiana ustawień systemowych czy zdalne działania na plikach ofiary.
Ciekawym aspektem ataku jest brak konieczności instalowania od razu złośliwego oprogramowania na komputerze ofiary. Wszystko odbywa się za pomocą konfiguracji złośliwego pliku RDP, co utrudnia jego wykrycie nawet przez nowoczesne systemy bezpieczeństwa. Ponadto, PyRDP daje napastnikom szansę na automatyczne przeszukiwanie udostępnionych zasobów sieciowych, umożliwiając kopiowanie danych przechowywanych w lokalnych lub zdalnych folderach komputera.
Innowacyjne podejście cyberprzestępców
Ciekawostką jest fakt, że narzędzia takie jak PyRDP były pierwotnie zaprojektowane w celach badawczych i symulacyjnych, co ukazuje nowe wyzwania w świecie cyberbezpieczeństwa. Zmiana ich przeznaczenia do celów ataków wskazuje na rosnącą kreatywność i elastyczność grup hackerskich. W omawianych kampaniach stosowano też zaawansowane techniki unikania wykrycia, takie jak wykorzystanie sieci TOR, serwerów proxy działających na bazie adresów IP lub korzystanie z komercyjnych usług VPN do rozsyłania phishingowych e-maili.
Ataki te pokazują również zainteresowanie grup takich jak Earth Koshchei nie tylko wykorzystywaniem starych i nowych luk systemowych, ale także narzędziami opracowywanymi przez tzw. „białe kapelusze” w dobrze znanych firmach zajmujących się bezpieczeństwem. W rezultacie, działania hackerskie stają się coraz bardziej wysublimowane, przez co nawet organizacje korzystające z solidnych zabezpieczeń mogą być narażone na ryzyko.
Podsumowanie
Dzięki takim narzędziom jak PyRDP, grupy cyberprzestępcze zyskują znaczną przewagę w realizacji zaawansowanych operacji cyfrowych. Szeroko zakrojone kampanie, jak te ukierunkowane na instytucje ukraińskie i innych wysokoprofilowych odbiorców, pokazują, że zabezpieczenia oparte wyłącznie na programach antywirusowych stają się niewystarczające. Działy bezpieczeństwa muszą stale monitorować aktualne zagrożenia, prowadzić szkolenia dla personelu oraz wprowadzać polityki bezpieczeństwa minimalizujące ryzyko związane z atakami phishingowymi i wykorzystaniem złośliwych plików RDP.
Prezentując takie przypadki, należy pamiętać, że kreatywność cyberprzestępców nie zna granic, dlatego kluczowe jest, by użytkownicy indywidualni i organizacje przywiązywali ogromną wagę do swoich praktyk związanych z cyberhigieną.
