De nombreuses personnes ont tenté d’accéder au système. Au cours des trois dernières années, il a capturé 21 tens of millions de tentatives de connexion, avec plus de 2 600 connexions réussies par des attaquants forçant brutalement le mot de passe faible qu’ils ont délibérément utilisé sur le système. Ils ont enregistré 2 300 de ces connexions réussies, rassemblé 470 fichiers qui ont été téléchargés et analysé 339 des vidéos avec des séquences utiles. (Certains enregistrements ne duraient que quelques secondes et s’avéraient moins utiles.) « Nous avons catalogué les strategies, l’outillage, tout ce qui était fait sur ces systèmes », dit Bilodeau.
Bergeron et Bilodeau ont regroupé les attaquants en cinq grandes catégories basées sur les sorts de personnages du jeu de rôle Donjons et Dragons. Les plus courants étaient les rangers : une fois que ces attaquants étaient à l’intérieur de la session RDP du piège, ils commençaient immédiatement à explorer le système, supprimaient les outils antivirus de Home windows, fouillaient dans les dossiers, examinaient le réseau sur lequel il se trouvait et d’autres éléments de la machine. Les Rangers ne prendraient aucune mesure, dit Bergeron. « C’est de la reconnaissance de base », dit-elle, suggérant qu’ils sont peut-être en prepare d’évaluer le système pour que d’autres y entrent.
Les barbares étaient le deuxième kind d’attaquants le plus fréquent. Ceux-ci utilisent plusieurs outils de piratage, tels que Masscan et NLBrute, pour se frayer un chemin dans d’autres ordinateurs, selon les chercheurs. Ils travaillent sur une liste d’adresses IP, de noms d’utilisateur et de mots de passe, essayant de s’introduire dans les machines. De même, le groupe qu’ils appellent les assistants utilise leur accès au RDP pour lancer des attaques contre d’autres RDP non sécurisés, masquant potentiellement leur identité sur de nombreuses couches. “Ils utilisent l’accès RDP comme un portail pour se connecter à d’autres ordinateurs”, explique Bergeron.
Les voleurs, quant à eux, font ce que leur nom implique. Ils essaient de gagner de l’argent avec l’accès RDP de toutes les manières possibles. Ils utilisent des websites Internet de monétisation du trafic et installent des crypto-mineurs, selon les chercheurs. Ils ne gagnent peut-être pas beaucoup en une seule fois, mais plusieurs compromis peuvent s’additionner.
Le dernier groupe observé par Bergeron et Bilodeau est le plus aléatoire : les bardes. Selon les chercheurs, ces personnes ont peut-être acheté l’accès au RDP et l’utilisent pour diverses raisons. L’une des personnes que les chercheurs ont observées a recherché sur Google le “virus le plus puissant de tous les temps”, explique Bergeron, tandis qu’une autre a tenté d’accéder à Google Adverts.
D’autres ont simplement essayé (et échoué) de trouver du porno. “Nous pouvons voir le niveau de débutant dans lequel il se trouve, automobile il a recherché de la pornographie sur YouTube – rien n’apparaît, bien sûr”, dit Bergeron, puisque YouTube n’autorise pas la pornographie. Plusieurs periods ont été repérées en prepare d’essayer d’accéder à la pornographie, selon les chercheurs, et ces utilisateurs écrivaient toujours en farsi, indiquant qu’ils essayaient peut-être d’accéder à la pornographie dans des endroits où il est bloqué. (Les chercheurs n’ont pas été en mesure de déterminer de manière concluante d’où provenaient bon nombre de ceux qui accédaient au RDP.)
Malgré cela, regarder les attaquants révèle leur comportement, y compris certaines actions plus particulières. Bergeron, qui a un doctorat en criminologie, dit que les agresseurs étaient parfois « très lents » à faire leur travail. Souvent, elle “s’impatientait” en les regardant, dit-elle. “Je me dis : ‘Allez, tu n’es pas doué pour ça’ ou ‘Allez plus vite’ ou ‘Allez plus loin’ ou ‘Vous pouvez faire mieux’.”