[ziesell]

Zitat:

Honeypot: Forscher lockten Hacker in über 20.000 RDP-Sitzungen

Zwei Sicherheitsexperten haben einen Honeypot für Cyberkriminelle eingerichtet und sie drei Jahre lang beim Hacken beobachtet.



Ein Ingenieur und ein Kriminologe von Gosecure haben ein aus mehreren Windows-Servern bestehendes Computernetz als Honeypot eingesetzt, um Hacker bei der Durchführung von Cyberangriffen zu beobachten und deren Aktivitäten auf Video aufzuzeichnen. Dafür richteten die Forscher die Server absichtlich so ein, dass sie sich per Remote Desktop Protocol (RDP) aus der Ferne über das Internet steuern ließen. Anschließend beobachteten sie die Aktionen der Angreifer mit einem Open-Source-Tool namens PyRDP.

Wie aus einem von Gosecure geteilten Bericht hervorgeht, konnten die Sicherheitsforscher innerhalb eines Beobachtungszeitraumes von drei Jahren mehr als 20.000 RDP-Aufzeichnungen mit über 190 Millionen Ereignissen erfassen. Sie beobachteten die böswilligen Akteure dabei, wie sie beispielsweise Malware installierten, Kryptowährungen schürften, Klickbetrugskampagnen durchführten oder die Server für Angriffe auf weitere Zielsysteme missbrauchten.

Fünf Arten von Hackern

Anschließend untersuchten die Forscher das Verhalten der Cyberkriminellen und teilten sie in fünf verschiedene Kategorien ein. Angreifer, die nichts weiter taten, als Ordner zu durchsuchen und die Leistungsmerkmale ihrer Zielsysteme zu überprüfen, nannten sie "Ranger". Die Beobachter gingen davon aus, dass Akteure dieser Art lediglich Vorarbeit leisteten, um anderen Angreifern wertvolle Systeminformationen für Folgeangriffe zu liefern.

Die zweite Gruppe bezeichneten die Forscher als "Diebe". Sie nutzten den jeweiligen RDP-Zugang mit dem Ziel aus, durch Kryptomining, Klickbetrug oder andere betrügerische Aktivitäten unmittelbar Geld zu verdienen. Angreifer, die versuchten, sich von den infiltrierten Rechnern aus einen Weg in andere Computersysteme zu bahnen, wurden hingegen "Barbaren" genannt.

Die "Zauberer" waren den Forschern zufolge all jene Akteure, die ein infiltriertes System lediglich dazu nutzten, um im Rahmen weiterer Angriffe ihre eigene Identität zu verschleiern. Diese Art von Angreifern zeichne sich durch ein besonders "hohes Maß an Geschicklichkeit" und Sorgfalt aus und liefere Sicherheitsforschern dadurch wertvolle Informationen für die Entwicklung neuer Verteidigungsstrategien.

Und zu guter Letzt gab es dann noch die "Barden", die sich durch eher mittelmäßige Hacking-Fähigkeiten auszeichneten. Sie nutzten die RDP-Zugänge lediglich aus, um beispielsweise bestimmte Suchanfragen bei Google zu stellen oder sich pornografische Inhalte anzusehen. In einem Fall "lud ein Hacker die Pornos herunter und schickte sie über Telegram an sich selbst. So umging er im Grunde genommen ein landesweites Verbot von Pornos", erklärte einer der Forscher diesbezüglich gegenüber Techcrunch.

Unterstützung für die Cyberabwehr und Strafverfolgung

Die Sicherheitsforscher planen für die kommenden Monate die Veröffentlichung einer Blog-Post-Serie, in der sie die Strategien und Tools der beobachteten Hacker näher erläutern wollen. Die Erkenntnisse sollen vor allem Strafverfolgern sowie anderen Sicherheitsexperten dienen, um effektive Abwehrstrategien gegen Cyberangriffe zu entwickeln und Ermittlungen gegen kriminelle Akteure in Zukunft schneller voranzutreiben.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]