18/09/2018, 13:35

Mua thông tin truy cập hệ thống an ninh sân bay chỉ với giá $10 trên Dark Web

Nếu bạn không tìm được thứ gì trên Google, bạn sẽ tìm được thứ đó trên Dark Web. Kể cả khi bạn muốn mua thông tin truy cập hệ thống an ninh sân bay. Chợ đen trên Dark Web không chỉ được biết đến với hàng trắng mà còn là một mạng lưới ngầm khổng lồ mà bạn có thể tìm mua mọi thứ bạn muốn: video ...

Nếu bạn không tìm được thứ gì trên Google, bạn sẽ tìm được thứ đó trên Dark Web. Kể cả khi bạn muốn mua thông tin truy cập hệ thống an ninh sân bay.

Chợ đen trên Dark Web không chỉ được biết đến với hàng trắng mà còn là một mạng lưới ngầm khổng lồ mà bạn có thể tìm mua mọi thứ bạn muốn: video khiêu dâm, vũ khí, tiền giả, công cụ hack, cách lợi dụng lỗ hổng, malware và cả lỗ hổng zero-day.

Một trong những chợ ngầm trong thế giới ảo là RDP Shop, nền tảng cho mọi người mua quyền truy cập RDP (remote desktop protocol) của hàng ngàn máy tính đã bị hack với giá rất rẻ.

truy cập an ninh sân bay securitydaily1

Trong lúc thanh tra một số cửa hàng RDP, các nhà nghiên cứu đến từ đội nghiên cứu an ninh của McAfee đã phát hiện ra một người đang bán quyền truy cập hệ thống an ninh sân bay của một sân bay quốc tế lớn với giá chỉ 10 đô la Mỹ.

Chỉ 10 đô la Mỹ, không hơn không kém.

truy cập an ninh sân bay securitydaily1

Thay vì mua thông tin truy cập đó, các nhà nghiên cứu đã dùng bộ máy tìm kiếm Shodan để tìm ra địa chỉ IP của máy tính Windows Server bị hack của hệ thống an ninh sân bay này. Tài khoản administrator của máy tính đó đang được rao bán như hình minh họa trên.

Khi các nhà nghiên cứu vào tới màn hình login qua Windows RDP, họ thấy 2 tài khoản người dùng nữa “liên quan đến hai công ty chuyên về an ninh sân bay; một về bảo mật và tự động hóa, một về giám sát qua camera và phân tích video.”

Các nhà nghiên cứu cho biết: “Chúng tôi không tìm hiểu sâu vào quyền truy cập của các tài khoản này, nhưng trong trường hợp chúng bị chiếm đoạt, các công cụ như Mimikatz sẽ cho tin tặc quyền truy cập ngang hàng trong mạng lưới.”

“Chúng tôi cũng thực hiện tìm kiếm tương tự trên các tài khoản còn lại và phát hiện tên miền này có khả năng cao liên quan đến hệ thống vận chuyển tự động của sân bay dùng trong hệ thống vận chuyển hành khách giữa các terminal.

Theo các nhà nghiên cứu, những người rao bán thông tin truy cập RDP thường đơn giản chỉ quét mạng Internet để tìm các kết nối RDP và tấn công brute-force bằng các công cụ quen thuộc như Hydro, NLBrute hay RDP Forcer để chiếm quyền điều hành.

truy cập an ninh sân bay securitydaily3

Khi tin tặc đăng nhập thành công vào máy tính từ xa, thường chúng không làm gì mà chỉ đưa thông tin đăng nhập lên bán trên Dark Web.

Ai mua được số thông tin đăng nhập này có thể di chuyển ngang hàng trong mạng nội bộ, tạo cửa sau, thay đổi thiết lập, cài malware và đánh cắp dữ liệu.

Giải pháp cho các tổ chức là dùng các biện pháp bảo mật cho RDP như:

  • Bỏ quyền truy cập kết nối RDP qua mạng Internet mở
  • Dùng mật khẩu khó đoán và xác minh hai lớp để làm tấn công brute-force khó thành công
  • Khóa người dùng và chặn các IP với số lượt truy cập không thành công lớn.

THN

0