Popüler hacker pazarı UAS‘ın (Ultimate Anonymity Service) 1,3 milyon RDP sunucu bilgilerini ifşa etmesi sonrası benzer durumların yeni bir siber ekonomi yarattığı düşünülüyor.
Geçmişte ve halihazırda kullanılan ve istismar edilmiş 1,3 milyon RDP sunucusunun giriş bilgileri (ad, parola), en büyük hacker pazarlarından biri olan UAS tarafından sızdırıldığı ortaya çıkarıldı.
Uzun yıllardan beri UAS içinde olan siber güvenlik araştırmacılarının ortaya çıkardığına göre toplam 63 ülkeden milyonlarca RDP sunucusunun giriş bilgileri yer alıyor.
UAS PAZARI GİZLİCE İZLENDİ
2018’in Aralık ayından bu yana bir grup siber güvenlik araştırmacısı, UAS pazarının veri tabanına gizli erişim sağladı. Söz konusu güvenlik araştırmacılar bu yöntem sayesinde neredeyse üç yıldır sessiz sedasız satılan RDP giriş bilgilerini topluyor.
Bu süre zarfında güvenlik araştırmacıları, UAS üzerinden satılan 1.379.609 RDP hesabının IP adreslerini, kullanıcı adlarını ve şifrelerini topladılar. Elde edilen veritabanı Advanced Intel’den Vitali Kremez ile paylaşıldı.
Veritabanında hangi devlet kurumlarının veya şirketlerin olduğu belirtilmese de dünyanın her bir noktasından RDP sunucularının sızdırıldığı belirtildi. Bu anlamda en çok RDP sunucularının sızdırıldığı ülkeler ise Brezilya, Hindistan ve ABD olarak dikkat çekiyor.
Bunların yanı sıra sağlık sektöründeki birçok yüksek profilli şirketin RDP sunucuları da sızdırılan sunucular arasında bulunuyor. Ayrıca edinilen bilgilere göre son iki yılda fidye yazılımı saldırılarına uğradığı bilinen kuruluşlara ait de birçok RDP sunucusu bulunuyor.
RDP’Yİ ÖZEL KILAN NEDİR?
RDP’yi özel kılan şey, önünüzde bulunan bilgisayarınıza, sanki bir başkası karşısında oturuyormuş gibi uzaktan erişimi mümkün kılmasıdır. Yani bir Windows cihazının uygulamalarına ve masaüstüne erişim sağlayabiliyorsunuz.
Kurumsal ağlarda ve aynı zamanda büyük şirketlerde de yaygın bir biçimde RDP kullanılması, siber saldırganlara yeni gelir kapısı aralamak gibi bir fırsat sunuyor. Elde ettikleri bilgileri 3 ila 70 dolar arasında satan siber saldırganlar bu anlamda sürekli gelişen yeni bir ekonomi geliştirmiş durumdalar.
RDP, SALDIRILARIN ÇOĞUNDAN SORUMLU
RDP sunucularını istismar etmenin çoğu durumda kolay ve yaygın olması nedeniyle daha öncelerde de açıklama yapan FBI, fidye saldırılarına yol açan tüm ağ ihlallerinin yüzde 70 veya 80’inden RDP’nin sorumlu olduğunu belirtti.
FBI, APT tehdidine karşı uyardı: Fortinet VPN zafiyetleri istismar ediliyor
Siber saldırganlar, ağınıza erişim sağladığında çeşitli kötü amaçlı faaliyetler gerçekleştirebiliyor. Bunlar arasında veri çalma, kredi kartı bilgileri toplama, zararlı yazılım yükleme veya daha fazla erişim elde etmek için arka kapı kurma ya da fidye yazılımı dağıtma gibi metodlar yer alıyor.
Neredeyse tüm fidye yazılım çeteleri bir noktaya kadar RDP kullansa da ayrıca Dharma olarak bilinen bir fidye yazılım grubu, kurumsal ağlarda kalıcı olarak yer edinmek için ağırlıklı olarak RDP kullanmasıyla biliniyor.
UAS NEDİR? NASIL ÇALIŞIR?
UAS veya uzun adıyla ‘Ultimate Anonymity Service’, RDP bilgilerini, Sosyal Güvenlik numaralarını, SOCKS proxy sunucu erişimlerini ve birçok hizmeti barındıran bir ticaret sitesi olarak karşımıza çıkıyor.
UAS’i RDP konusunda öne çıkaran nokta ise, satılan RDP bilgilerinin manuel olarak doğrulanması, her halükarda müşteri desteği sunması ve istismar edilmiş bir bilgisayardaki uzaktan erişimin nasıl korunacağına dair bilgiler vermesi oluyor.
İsmini vermek istemeyen bir güvenlik araştırmacısının açıklamalarında şu cümlelere yer verildi: “UAS, eBay gibi bir işlev görüyor. Birçok hacker pazarla birlikte çalışıyor. Siteye giriş yapmak ve hackledikleri RDP’leri yüklemek için farklı giriş yerleri bulunuyor. UAS sistemi de daha sonra girilen bilgileri doğrulamak için RDP’ler üzerinde bilgi topluyor. Bu bilgiler arasında cihazın işletim sistemi, internet hızı, CPU veya bellek bilgileri gibi çeşitli bilgiler yer alıyor. Aynı zamanda hackerlar arayüz üzerinde gerçek zamanlı istatistikler görebiliyor. Neyin satılıp satılmadığı, ödemenin gerçekleşip gerçekleşmediği, sorun yaşanıp yaşanmadığı gibi. Örneğin satın aldığınız herhangi bir şey herhangi bir sebep yüzünden işe yaramazsa, destek alabiliyorsunuz. Müşteri memnuniyeti bir hayli ön planda.”
Aynı zamanda çalınan RDP sunucu bilgilerini satın alırken istediğiniz bir ülkede istediğiniz bir şehirde ISS veya işletim sistemindeki istismar edilmiş cihazları seçebilir, ihtiyaç duyduğunuz spesifik bir sunucuyu bulmanızın önünü açabilirsiniz.
Bunların ötesinde istismar edilmiş cihazların internet bağlantı hızını, donanımını ve daha fazlasını görmek için de daha derin araştırmalar yapabilirsiniz.
Ancak sitenin aldığı karara göre, pazardaki RDP’lerin Rusya veya herhangi bir Bağımsız Devletler Topluluğu üyesi ülkede bulunan hiçbir sunucuya satılmayacağı, böyle bir şey gerçekleşirse de tespit edilen sunucuların otomatik olarak banlanacağı bir komut dosyasının çalıştırılacağı ifade edildi.
YENİ HİZMET: RDPwned
Advanced Intel’den Vitali Kremez, şirketlerin, kurumların veya yöneticilerin sunucularının veritabanında listelenip listelenmediğini kontrol etmelerine olanak tanıyan RDPwned adlı yeni bir hizmet başlattıklarını duyurdu.
Vitali Kremez, “Söz konusu pazarın dünya çapında gerçekleşen bir dizi yüksek profilli siber saldırılarla veya fidye yazılım vakalarıyla bağlantısı olduğu ve birçok fidye yazılımı çetesinin UAS içinde satın almalarının olduğu biliniyor. Bir hacker hazinesine dönüşen bu pazar, siber suç ekosistemine de bir mercek tutulmasına katkıda bulunuyor. Bu anlamda zayıf parolalar ve internete açık RDP’ler gibi düşük kapasitede koruması olan bu alanlara ihlallerin artması kaçınılmaz şekilde devam ediyor.” açıklamasını yaptı.
Ayrıca Kremez, “RDPwned ayrıca, ilk erişimi asla çözülemeyen eski ihlalleri aydınlatmaya da yardımcı olacak. Diğerlerinin de yaşanabilecek güvenlik sorununun bir ihlal haline gelmeden önce çözme şansı olacak.” dedi.
RDP KULLANICI ADLARINA VE ŞİFRELERİNE DAİR BİR TAKIM İSTATİSTİKLER
Bile bile lades olmak deyimi bile bu kullanıcı adı ve parolaların yanında sönük kalır diyebileceğimiz, veritabanında süzülmüş 1,3 milyon RDP sunucu bilgilerinin olduğu listede yer alan kullanıcı adlarını, şifrelerini ve en çok hangi ülkeden RDP sunucuları bilgilerinin sızdırıldığını aşağıdaki listelerde bulabilirsiniz.
En sık kullanılan 20 kullanıcı adı:
| Kullanıcı Adı | Toplam Hesap Sayısı |
| Administrator | 303,702 |
| Admin | 59,034 |
| User | 45,096 |
| test | 30,702 |
| scanner | 20,876 |
| scan | 16,087 |
| Guest | 12,923 |
| IME_ADMIN | 9,955 |
| user1 | 8,631 |
| Administrador | 8,612 |
| Trader | 8,608 |
| postgres | 5,853 |
| IME_USER | 5,667 |
| Usuario | 5,236 |
| user2 | 4,055 |
| Passv | 3,989 |
| testuser | 3,969 |
| test1 | 3,888 |
| server | 3,754 |
| student | 3,592 |
| reception | 3,482 |
| backup | 3,356 |
| openpgsvc | 3,339 |
| info | 3,156 |
| VPN | 3,139 |
En sık kullanılan 20 şifre:
| Kullanıcı parolaları | Toplam Hesap Sayısı |
| 123456 | 71,639 |
| 123 | 50,449 |
| P@ssw0rd | 47,139 |
| 1234 | 34,825 |
| Password1 | 27,007 |
| 1 | 24,955 |
| password | 19,148 |
| 12345 | 16,522 |
| admin | 15,587 |
| ffff-ffc0M456x (see note) | 15,114 |
| Admin@123 | 13,572 |
| User | 13,437 |
| scanner | 13,193 |
| scan | 10,409 |
| test | 10,169 |
| Aa123456 | 9,399 |
| Password123 | 8,756 |
| 12345678 | 8,647 |
| Admin123 | 8,214 |
| Passw0rd | 7,817 |
| admin,.123!@#$%^ | 7,027 |
| 1qaz@WSX | 6,248 |
| Welcome1 | 5,962 |
| P@ssword64 | 5,522 |
| abc@123 | 4,958 |
En çok RDP sunucu bilgileri sızdırılan ülkeler:
| Ülke İsmi | Toplam Hesap Sayısı |
| ABD | 299,529 |
| Çin | 201,847 |
| Brezilya | 119,959 |
| Almanya | 56,225 |
| Hindistan | 41,588 |
| Birleşik Krallık | 37,810 |
| Fransa | 32,738 |
| İspanya | 30,312 |
| Kanada | 27,347 |
| Hong Kong | 24,804 |
