Bu tehdit yayılmak için 6 saniyede bir kapıları zorluyor
"Uzak Masaüstü Bağlantı Protokolü" (RDP) aracılığıyla gerçekleştirilen siber saldırılarda büyük bir artış yaşanıyor. "Kurtlar zaten kapınızda" başlığıyla hazırlanan son rapora göre bu sinsi tehdit dünyaya yayılmak için 6 saniyede bir kapıları zorluyor.
‘Uzak Masaüstü Bağlantısı’ kullananlara yönelik siber saldırılarda son dönemde ciddi bir artış olduğu belirlendi. Siber saldırganların “Uzak Masaüstü Bağlantı Protokolü” (Remote Desktop Protocol, RDP) aracılığıyla gerçekleştirdikleri saldırıların 2012 yılında her yarım saate bir gerçekleşirken, bu saldırıların sıklığının artık her 6 saniyede bire kadar indiği açıklandı.
Siber güvenlik kuruluşu Sophos’un “RDP açığa çıktı: Kurtlar zaten kapınızda” (RDP exposed: the wolves already at your door) başlığıyla yayınladığı rapor, siber saldırganların RDP aracılığıyla gerçekleştirdikleri saldırılarda ne kadar ısrarlı ve inatçı olduklarını ortaya koydu.
Raporun hazırlanmasında liderliği üstlenen Sophos Güvenlik Uzmanı Matt Boddy, özellikle sistem yöneticilerinin başını ağrıtan ‘Uzak Masaüstü Bağlantısı’ (RDP) odaklı saldırıları 2011 yılından beri takip ettiklerini belirtti.
‘SAATLER İÇİNDE DÜNYAYA YAYILABİLİR’
Hedefli saldırılarının arkasında yer alan siber grupların ağlara sızmak için kullandıkları diğer tüm yöntemleri bir kenara bırakıp RDP’ye odaklandığına dikkat çeken Boddy, “Geçtiğimiz günlerde BlueKeep (CVE-2019-0708) adı verilen ve hedef sistemlerde uzaktan kod çalıştırılmasına olanak sağlayan RDP açığı gündemde önemli bir yer tuttu. Bu öylesine ciddi bir açık ki, saatler içinde bütün dünyaya yayılacak bir potansiyel fidye yazılımı saldırısının başlangıcı olabilir” dedi.
RDP odaklı tehditlere karşı sistemleri koruma altına almak için yama yüklemenin çok daha ötesinde bir çaba gerektiğini ifade eden Boddy, “Araştırmamızda siber saldırganların potansiyel RDP açığı olan sistemleri 7 gün 24 saat saldırı yağmuru altında tuttuğunu gözlemledik. Bilgi teknolojileri yöneticileri bu konuyu çok daha fazla ciddiye almalılar” uyarısı yaptı.
3 MİLYONDAN FAZLA CİHAZ RİSK ALTINDA
Şu an dünyada RDP ile erişim sağlayan 3 milyondan fazla cihazın bulunduğuna dikkat çeken Matt Boddy, “Kurduğumuz tüm kukla sunucular internete bağlandıktan kısa bir süre sonra sadece RDP kullandıkları için keşfedilerek hedef alındı. Bu saldırılardan korunmanın yolu RDP kullanımını olabildiğince azaltmaktan ve organizasyon genelinde güçlü şifre belirleme politikaları oluşturmaktan ve doğru güvenlik protokolleri uygulamaktan geçiyor” dedi.
DAKİKALAR İÇİNDE KEŞFEDİYOR
Yapılan araştırma, RDP özelliği açık cihazların neredeyse internet üzerinde belirir belirmez keşfedildiğini ve hedef alındığını ortaya koydu. Bu durumu göstermek için geniş bir coğrafi alana düşük etkileşimli kukla sunucular yerleştirilen araştırmadan çıkan sonuçlar şöyle:
10 sunucunun tamamı daha ilk gününü doldurmadan RDP saldırısına uğradı. İlk saldırılan Paris, son saldırılan Singapur sunucusu oldu.
Sunucular 30 gün içinde 4 milyon 298 bin 513 başarısız giriş denemesine maruz kaldı. Bu her 6 saniyede bir denemeye karşılık geliyor. 2012 yılındaki araştırmada bu rakam yarım saatte bir olarak ölçülmüştü.
Endüstrinin genelinde siber suçluların açık RDP kaynaklarını taramak için Shodan gibi sitelerin kullanıldığı düşünülüyor. Ancak yapılan son araştırma ise saldırganların çoktan kendi araç ve tekniklerini ortaya koyduğunu, üçüncü parti sitelere ihtiyaç duymadıklarını gösterdi.
3 FARKLI YÖNTEMLE SALDIRIYORLAR
Sophos’un araştırmasına göre saldırılar gerçekleşme şekline bağlı olarak “Koçbaşı”, “Sürü” ve “Kirpi” olmak üzere üç gruba ayrılıyor:
Koçbaşı: Yönetici şifresini ele geçirmek üzere düz ama inatçı bir strateji kurguluyor. Araştırma sırasında bir saldırgan İrlanda’daki kukla sunucuya 10 gün içinde sadece üç farklı isim kullanarak 109 bin 934 giriş denemesi gerçekleştirdi.
Sürü: Sıralı isimler ve en çok tercih edilen şifreler üzerinden ilerlemeyi tercih ediyor. Paris’teki sunucuya ABrown adıyla 14 dakika içinde 9 kez giriş denemesi yapan bir saldırgan, sonuç alamayınca BBrown, CBrown, DBrown gibi isimlere geçti. Seri A.Mohamed, AAli, ASmith ve diğerleriyle devam etti.
Kirpi: Bir anda gerçekleştirdiği çok sayıda saldırının ardından uzun süre sessiz kalıyor. Brezilya’daki sunucuyu hedef alan bir saldırgan, aynı IP adresi üzerinden 4 saatlik zaman aralıklarıyla gerçekleştirdiği saldırılarda 3 bin 369 ile 5 bin 199 şifre tahmininde bulundu.
