Удар по RDP: 100 стран, 100 000 IP и одна цель — американская инфраструктура

leer en español

GreyNoise ботнет RDP атаки США TCP безопасность
Удар по RDP: 100 стран, 100 000 IP и одна цель — американская инфраструктура
GreyNoise ботнет RDP атаки США TCP безопасность

Хакеры обходят аутентификацию, используя всего лишь разницу во времени ответа сервера.

image

С начала октября специалисты GreyNoise фиксировали одну из самых масштабных и скоординированных атак на службы удалённого доступа в США. По их данным, с 8 октября 2025 года более 100 тысяч уникальных IP-адресов из сотни стран участвуют в автоматизированной кампании против инфраструктуры Remote Desktop Protocol (RDP). Все задействованные узлы демонстрируют схожие сетевые признаки, что указывает на централизованное управление ботнетом.

Первыми признаки активности заметили по всплеску трафика из Бразилии, после чего анализ выявил аналогичные всплески в Аргентине, Иране, Китае, Мексике, Южной Африке и ряде других стран. При этом подавляющее большинство атак направлено исключительно на американские серверы, что делает кампанию максимально сфокусированной и технически согласованной.

По оценке GreyNoise, операторы ботнета применяют два метода — RD Web Access Timing Attack и RDP Web Client Login Enumeration. В первом случае злоумышленники анализируют различия во времени отклика при анонимной аутентификации, извлекая информацию о существовании учётных записей. Во втором — массово перебирают логины на веб-клиенте RDP, чтобы выявить активные имена пользователей. Оба подхода предназначены для подготовки к последующему подбору паролей и взлому систем, не ограничивая атаку географически.

Исследователи обратили внимание на то, что почти весь трафик имеет один и тот же TCP-отпечаток, отличающийся лишь параметром MSS, зависящим от конкретного кластера заражённых устройств. Это указывает на использование унифицированного программного компонента и централизованного механизма активации, управляющего распределением нагрузки между странами и временными интервалами. Таким образом, речь идёт не о спорадических сканах, а о полностью управляемой инфраструктуре, действующей как единая сеть.

Анализ подтверждает, что каждый IP участвовал в полном трёхстороннем рукопожатии с целевыми узлами, что исключает случайные или ложные соединения. Наиболее вероятно, что заражённые хосты принадлежат к ботнету с мультинациональной географией и координацией через общий командный центр. Переход активности от отдельных сегментов к глобальному распределению трафика произошёл в считанные дни, что говорит о заранее подготовленном сценарии.

GreyNoise рекомендует администраторам внимательно проверять журналы событий на наличие аномальных RDP-подключений и запросов на анонимную аутентификацию. Дополнительно компания советует отслеживать теги Microsoft RD Web Access Anonymous Authentication Timing Attack Scanner и Microsoft RDP Web Client Login Enumeration Check, которые связаны с этой кампанией.

Ситуация продолжает развиваться. По мере поступления новых данных GreyNoise обещает публиковать обновления и уточнённые сигнатуры, позволяющие точнее идентифицировать задействованные узлы и минимизировать риск компрометации корпоративных систем.