I criminali informatici sono continuamente impegnati nell’individuare nuovi e più avanzati strumenti per attaccare i sistemi degli utenti, in particolare quelli di professionisti e imprese. In molti casi, con lo scopo di sottrarre denaro e chiedere riscatti, si installano componenti che registrano il comportamento degli utenti, le credenziali utilizzate, le schermate via via apparse. E se capovolgessimo lo scenario? È quanto hanno fatto due ricercatori che servendosi di un honeypot configurato ad arte, hanno spiato le attività degli aggressori rubando loro dati e segreti.
Cos’è un honeypot e a cosa serve
Un honeypot è una tecnica che prevede l’allestimento di un sistema o di un ambiente apparentemente vulnerabile che possa essere attraente per gli aggressori. Affacciato sulla rete Internet, l’honeypot è una sorta di esca che espone, ad esempio, alcune porte di comunicazione aperte e dietro alle quali è in ascolto un server vulnerabile. In alcuni casi, più semplicemente, si utilizza una password debole a protezione della macchina.
Obiettivo principale è quello di attirare gli aggressori e monitorare le loro attività malevole allo scopo di studiare, comprendere e raccogliere informazioni sulle tattiche, le tecniche e le procedure utilizzate. Un honeypot può essere implementato come un sistema informatico isolato o come parte di una rete, e può variare in complessità. Può essere una semplice trappola oppure un più sofisticato sistema progettato per imitare server reali, servizi e reti.
Ovviamente, gli honeypot devono essere predisposti con particolare cura: le attività malevole effettuate sul sistema da parte di soggetti remoti non devono avere effetti negativi sulla rete o sui sistemi utilizzati nella propria infrastruttura.
Oltre 100 ore di riprese video mostrano ciò che fanno gli hacker su un sistema vulnerabile connesso alla rete Internet
Durante l’evento Black Hat USA 2023, i ricercatori Olivier Bilodeau e Andréanne Bergeron di GoSecure hanno mostrato il risultato dei loro sforzi.
Remote Desktop Protocol (RDP) è un vettore di attacco critico utilizzato quotidianamente da un gran numero di aggressori. Lo sfruttamento delle vulnerabilità nell’implementazione di Desktop remoto, è uno degli “sport” più praticati dai criminali informatici.
Con il preciso intento di studiare gli attacchi a RDP, Bilodeau e Bergeron hanno sviluppato PyRDP, uno strumento di intercettazione RDP open source con capacità di raccolta di file, registrazione dei tasti, dell’utilizzo del mouse, del contenuto degli appunti, di quanto visualizzato di volta in volta sullo schermo. PyRDP è disponibile su GitHub e può essere esaminato e migliorato da chiunque.
Gli studiosi hanno poi configurato un honeypot installandovi diversi server Windows RDP pubblicamente esposti online. I sistemi in questioni sono rimasti in esecuzione per ben 3 anni accumulando, in questo lasso di tempo, oltre 150 milioni di eventi, tra cui 100 ore di riprese video, 570 file raccolti da autori di minacce e oltre 20.000 sessioni RDP.
Per descrivere i comportamenti degli aggressori, i ricercatori si sono divertiti a tracciare delle analogie con alcune figure del celeberrimo gioco di ruolo fantasy Dungeon & Dragons. Così, nella presentazione portata all’evento Black Hat, è stato stilato un preciso identikit delle varie torbide figure con le quali l’honeypot ha avuto a che fare.
L’honeypot fa scoprire una comunità hacker davvero variegata
Durante il lungo viaggio durato un triennio, Bilodeau e Bergeron hanno potuto annotare (svelandoli oggi) gli strumenti che costituiscono la “cassetta degli attrezzi” dei criminali informatici: dControl, xDedic RDP Patch, NLBrute, Masscan, SilverBullet, vari meccanismi per la disattivazione dei programmi per la sicurezza e tool software per il fingerprinting dell’host precedentemente non documentati. Hanno inoltre mostrato alcuni esempi di registrazioni video particolarmente rilevanti che mostrano gli hacker in azione.
Il duo ha raccontato che alcuni aggressori, fattisi largo nel loro honeypot, hanno dimostrato di disporre di competenze estremamente avanzate. Altri, invece, sembravano improvvisati e totalmente inesperti. E alcuni si sono comportati in modo strano: una persona che ha effettuato l’accesso alla macchina ha cambiato lo sfondo del desktop e si è disconnessa; un’altra ha scritto “lol” prima di coprire le proprie tracce e andarsene, probabilmente riuscendo a capire subito cosa stava avvenendo “dietro le quinte”.
Credit immagine in apertura: iStock.com/da-kuk