В последние дни мир информационных технологий потрясла тревожная новость о значительном увеличении числа скоординированных сканирований, нацеленных на серверы аутентификации Microsoft Remote Desktop. Расследования интернет-разведывательной компании GreyNoise зафиксировали почти две тысячи IP-адресов, которые достаточно настойчиво и без усталости «подглядывают» в стороны аутентификационных порталов RDP, словно хищные птицы, ища слабость в защите.
Время перемен
Если верить исследователям, такое резкое увеличение активности – настоящая аномалия, ведь в обычное время тревога поднимается, только когда в сети «гуляет» 3–5 IP-адресов. Но последние события засветили целую волну, 1,971 адреса, которые проявляют интерес к уязвимостям в системе. Что же побудило нападение в столь слаженной манере?
Основной атакующей целью являются временные уязвимости, которые могут быть использованы для проверки правильности имен пользователей. Если злоумышленник заметит, что сервер отвечает медленнее на неправильный логин, это может означать, что предоставленный логин верный. К сожалению, даже минимальная задержка может стать «окном возможностей» для хакеров.
Парадокс образования
Одним из интересных факторов, пришедших в фокус внимания исследователей, стало совпадение всплеска атак с началом учебного года в США. Университеты и школы вновь подключают свои системы RDP, чтобы ввести в дело тысячи новых аккаунтов. Использование предсказуемых форматов имен пользователей, таких как ID студентов или имена и фамилии, делает процесс подбора паролей особенно легким.
«Эти системы часто работают по формуле, которую легко предугадать», — говорит Ной Стоун из GreyNoise. «Совпадение с учебным годом может быть любой действительно изящной стратегией злоумышленников».
Рекомендации по безопасности
Ну что ж, как же защитить свои данные в условиях ширящейся угрозы? Эксперты советуют администраторы Windows, отвечающие за системы RDP, убедиться, что все аккаунты защищены многофакторной аутентификацией. А для дополнительной безопасности стоит рассмотреть возможность размещения таких систем за пределами сети VPN.
Покружившись вокруг этих вопросов, начинаешь осознавать, насколько важно быть бдительным в мир онлайн-интернет-сервисов. Впереди час испытаний для RDP-серверов, и единственный способ противостоять угрозе — это подготовка и профилактика.
Заключение
Подводя итоги, можно сказать, что атакующие высокоорганизованы и оптимизируют свои попытки в зависимости от времени года. Поэтому, как работник сферы IT или обычный пользователь, будьте осторожны и следите за новостями в области безопасности. Ваша информация — это ценность, которую нужно защищать. Вопрос не в том, произойдет ли атака, а в том, насколько вы готовы к ней.