מקאפי: האקרים השיגו גישה למערכות האבטחה בנמל תעופה

חוקרים בחברה גילו כי קודי אימות למערכת בנמל תעופה בינלאומי גדול נמכרים בדארקנט תמורת 10 דולר בלבד

צילום: שאטרסטוק
צילום: שאטרסטוק

חוקרים בצוות מחקר האיומים בחברת מקאפי (McAfee) גילו כי קודי אימות למערכות בנמל תעופה בינלאומי גדול נמכרים בדארקנט תמורת 10 דולר בלבד. מנהלי נמל התעופה וידאו את האותנטיות של קודי האימות, שיכולים לאפשר שליטה ב"מערכות שקשורות למערכות אבטחה ולמערכות בניין אוטומטיות". הם פתרו את הבעיה לאחר שמקאפי דיווחה להם עליה. מטעמי חסיון מידע, לא חשפו החוקרים את שמו של נמל התעופה האמור.

קודי האימות הגנובים היו עבור מערכת 'פרוטוקול שולחן עבודה מרוחק' (remote desktop protocol, RDP), שמאפשר לעובדים לעבוד מחוץ לרשת המקומית, באמצעות מחשבים ספציפיים. קודי אימות מסוג זה הם הפרצה האידיאלית לעברייני סייבר, ובדארקנט ישנם שווקים משגשגים שבהם נמכרים ונרכשים קודי אימות גנובים. במשך שנים השתמשו סוגים שונים של תוכנות זדוניות, כמו הכופרה SamSam, בקודי אימות ל-RDP כדי לפרוץ למערכות.

עדיין לא ברור כיצד הושגו קודי האימות של נמל התעופה, אך חוקרי מקאפי חושדים שההאקרים השתמשו בשיטה הלא מתוחכמת המכונה "מתקפת brute force" - הרצת מספר עצום של ניחושי סיסמאות אקראיים - עד שהצליחו לחדור למערכת. מתקפות brute force על פורטלי כניסה למערכות RDP הן תופעה נפוצה, ולעתים קרובות נעשה במסגרתן שימוש בכלים בעלי זמינות רבה. מנהלי מערכות מסוג RDP התמהמהו באימוץ שיטות כגון זיהוי דו שלבי וקביעת מגבלה על עומס התעבורה ברשת - שיטות שמסוגלות למנוע מתקפות מסוג זה.

נמל התעופה לא היה האתר הרגיש היחיד עם בעיית RDP. "נתקלנו גם המספר רב של מערכות ממשלתיות שנמכרות ברחבי העולם", נאמר בפוסט של מקאפי, "כולל עשרות קישורים למוסדות שירותי בריאות - החל מבתי חולים ומוסדות סיעודיים וכלה בספקיות ציוד רפואי".