Viele Leute versuchten, auf das System zuzugreifen. In den letzten drei Jahren wurden 21 Millionen Anmeldeversuche erfasst, davon mehr als 2.600 erfolgreiche Anmeldungen durch Angreifer, die das schwache Passwort, das sie absichtlich im System verwendet hatten, brutal erzwangen. Sie zeichneten 2.300 dieser erfolgreichen Anmeldungen auf, sammelten 470 hochgeladene Dateien und analysierten 339 der Videos mit nützlichem Filmmaterial. (Einige Aufnahmen waren nur ein paar Sekunden lang und erwiesen sich als weniger nützlich.) „Wir haben die Techniken, die Werkzeuge und alles, was auf diesen Systemen gemacht wurde, katalogisiert“, sagt Bilodeau.
Bergeron und Bilodeau haben die Angreifer basierend auf Charaktertypen aus dem Rollenspiel Dungeons and Dragons in fünf große Kategorien eingeteilt. Am weitesten verbreitet waren die Ranger: Sobald sich diese Angreifer in der RDP-Trap-Sitzung befanden, begannen sie sofort damit, das System zu erkunden, Windows-Antiviren-Tools zu entfernen, in Ordnern zu wühlen, das Netzwerk, in dem sie sich befanden, und andere Elemente der Maschine zu untersuchen. Die Rangers würden nichts unternehmen, sagt Bergeron. „Es handelt sich um eine grundlegende Aufklärung“, sagt sie und deutet an, dass sie das System möglicherweise evaluieren, damit andere darauf zugreifen können.
Barbaren waren die zweithäufigste Art von Angreifern. Diese verwenden mehrere Hacking-Tools, wie z Massenscan Und NLBrute, um mit brutaler Gewalt in andere Computer einzudringen, sagen die Forscher. Sie gehen eine Liste von IP-Adressen, Benutzernamen und Passwörtern durch und versuchen, in die Maschinen einzudringen. In ähnlicher Weise nutzt die Gruppe, die sie Assistenten nennen, ihren Zugriff auf das RDP zum Starten Angriffe gegen andere unsichere RDPs– möglicherweise ihre Identität über viele Ebenen hinweg verschleiern. „Sie nutzen den RDP-Zugang als Portal, um eine Verbindung zu anderen Computern herzustellen“, sagt Bergeron.
Die Diebe tun unterdessen, was ihr Name vermuten lässt. Sie versuchen, mit dem RDP-Zugang auf jede erdenkliche Weise Geld zu verdienen. Sie nutzen Websites zur Traffic-Monetarisierung und installieren Krypto-Miner, sagen die Forscher. Sie verdienen vielleicht nicht viel auf einmal, aber mehrere Kompromisse können sich summieren.
Die letzte Gruppe, die Bergeron und Bilodeau beobachteten, ist die zufälligste: die Barden. Diese Personen, sagen die Forscher, haben möglicherweise Zugriff auf das RDP erworben und nutzen es aus verschiedenen Gründen. Eine Person, die die Forscher beobachteten, googelte den „stärksten Virus aller Zeiten“, sagt Bergeron, während eine andere versuchte, auf Google Ads zuzugreifen.
Andere versuchten einfach (und scheiterten), Pornos zu finden. „Wir können sehen, auf welchem Anfängerniveau er sich befindet, da er auf YouTube nach Pornos gesucht hat – natürlich wird nichts angezeigt“, sagt Bergeron, da auf YouTube keine Pornografie erlaubt ist. Den Forschern zufolge wurden mehrere Sitzungen gesichtet, in denen versucht wurde, auf Pornos zuzugreifen, und diese Benutzer schrieben immer auf Farsi, was darauf hindeutete, dass sie möglicherweise versuchten, an Orten auf Pornos zuzugreifen, wo diese blockiert waren. (Die Forscher konnten nicht schlüssig feststellen, woher viele derjenigen, die auf das RDP zugegriffen haben, dies taten.)
Dennoch zeigt die Beobachtung der Angreifer, wie sie sich verhalten, einschließlich einiger merkwürdigerer Aktionen. Bergeron, der in Kriminologie promoviert hat, sagt, die Angreifer hätten ihre Arbeit manchmal „sehr langsam“ erledigt. Beim Zuschauen sei sie oft „ungeduldig geworden“, sagt sie. „Ich sage: ‚Komm schon, du bist nicht gut darin‘ oder ‚Geh schneller‘ oder ‚Geh tiefer‘ oder ‚Du kannst es besser machen‘.“