Un hacker a publicat saptamana aceasta o lista masiva de date de login Telnet pentru peste 515.000 de servere, routere de casa si dispozitive IOT (Internet of Things) .
Lista, care a fost publicata pe un forum popular de hacking, include adresa IP a fiecarui dispozitiv, impreuna cu un nume de utilizator si o parola pentru serviciul Telnet, un protocol de acces la distanta care poate fi utilizat pentru a controla dispozitivele de pe internet.
Potrivit expertilor pentru care ZDNet a vorbit saptamana aceasta si o declaratie a insusi leaker-ului, lista a fost intocmita prin scanarea intregului internet pentru dispozitivele care isi expuneau portul Telnet. Hackerul a incercat sa foloseasca (1) numele de utilizator si parolele implicite setate din fabrica sau (2) combinatii de parole personalizate, dar usor de intuit.
Aceste tipuri de liste – numite “liste bot” – sunt o componenta comuna a unei operatiuni botnet IoT. Hackerii scaneaza internetul pentru a construi liste de boti, apoi ii folosesc pentru a se conecta la dispozitive si a instala malware.
Aceste liste sunt de obicei pastrate private, desi unele au fost facute publice in trecut, cum ar fi o lista de 33.000 de login-uri de Telnet in august 2017. Din cate stim, aceasta marcheaza cea mai mare scurgere a parolelor Telnet cunoscute pana in prezent.
Lista a fost publicata online de catre intretinatorul unui serviciu DDoS-for-hire (booter DDoS).
Cand a fost intrebat de ce a publicat o lista atat de masiva de „boti”, leaker-ul a spus ca si-a imbunatatit serviciul DDoS de la a lucra cu botneti instalati pe dispozitive IoT la un nou model care se bazeaza pe inchirierea de servere de mare putere de la furnizorii de servicii cloud.
Toate listele pe care hackerul le-a scurs sunt datate din octombrie-noiembrie 2019. Unele dintre aceste dispozitive ar putea acum sa ruleze pe o adresa IP diferita sau sa poata folosi diferite date de autentificare.
ZDNet nu a folosit nicio combinatie de nume de utilizator si parola pentru a accesa niciunul dintre dispozitive, deoarece acest lucru ar fi ilegal – prin urmare, nu putem spune acasa multe dintre aceste acreditari sunt inca valabile.
Folosind motoarele de cautare IoT precum BinaryEdge si Shodan, ZDNet a identificat dispozitive peste tot in lume. Unele dispozitive au fost localizate pe retelele furnizorilor de servicii de internet cunoscuti (indicand ca sunt fie router de casa, fie dispozitive IoT), dar alte dispozitive au fost localizate in retelele marilor furnizori de servicii cloud.
Un expert in securitate IoT (care a vrut sa ramana anonim) a declarat pentru ZDNet ca, desi unele intrari din lista nu mai sunt valabile, deoarece dispozitivele si-au putut schimba adresa IP sau parolele, listele raman incredibil de utile pentru un atacator priceput.
Dispozitivele neconfigurate nu sunt distribuite uniform pe internet, dar sunt de obicei grupate in reteaua unui singur ISP, datorita faptului ca personalul ISP configureaza gresit dispozitivele atunci cand le implementeaza in bazele respective de clienti.
Un atacator ar putea utiliza adresele IP incluse in liste, sa determine furnizorul de servicii si apoi sa scaneze din nou reteaua ISP pentru a actualiza lista cu cele mai recente adrese IP.
ZDNet a impartasit lista de acreditari cu cercetatorii de securitate de incredere si verificati care s-au oferit voluntari pentru a contacta si notifica ISP-urile si proprietarii de server.