Hacker filtra las contraseñas de más de 500,000 servidores, enrutadores y dispositivos IoT


botnet ddos ​​mapa mundo globo cibernético

Imagen: ZDNet

Un hacker ha publicado esta semana una lista masiva de credenciales de Telnet para más de 515,000 servidores, enrutadores domésticos y dispositivos «inteligentes» de IoT (Net de las cosas).

La lista, que se publicó en un foro de piratería well-known, incluye la dirección IP de cada dispositivo, junto con un nombre de usuario y contraseña para Servicio telnet, un protocolo de acceso remoto que se puede usar para controlar dispositivos a través de World wide web.

Según los expertos a quienes ZDNet habló esta semana, y una declaración del mismo filtrador, la lista se compiló escaneando toda la Online en busca de dispositivos que estuvieran exponiendo su puerto Telnet. El hacker que intentó usar (1) nombres de usuario y contraseñas predeterminados de fábrica, o (2) combinaciones de contraseña personalizadas pero fáciles de adivinar.

Estos tipos de listas, llamadas «listas de bots», son un componente común de una operación de botnet de IoT. Los hackers escanean Net para crear listas de bots y luego las usan para conectarse a los dispositivos e instalar malware.

Estas listas generalmente se mantienen privadas, aunque algunas se han filtrado en línea en el pasado, como Una lista de 33,000 credenciales Telnet de enrutadores domésticos que se filtró en agosto de 2017. Hasta donde sabemos, esto marca la mayor fuga de contraseñas de Telnet conocidas hasta la fecha.

Datos filtrados por un operador de servicio DDoS

Como ZDNet entiende, la lista fue publicada en línea por el responsable del servicio DDoS-for-Retain the services of (DDoS booter).

Cuando se le preguntó por qué publicó una lista tan masiva de «bots», el filtrador dijo que actualizó su servicio DDoS de trabajar encima de las botnets IoT a un nuevo modelo que se basa en alquilar servidores de alto rendimiento de proveedores de servicios en la nube.

iot-list-files.png "src =" https://zdnet4.cbsistatic.com/hub/i/2020/01/17/8555ea94-5762-487b-b975-50183c416b5a/iot-list-files.png

Imagen: ZDNet

Todas las listas que el pirata informático filtró tienen fecha de octubre a noviembre de 2019. Algunos de estos dispositivos ahora pueden ejecutarse en una dirección IP diferente o utilizar diferentes credenciales de inicio de sesión.

ZDNet no utilizó ninguno de los combos de nombre de usuario y contraseña para acceder a ninguno de los dispositivos, ya que esto sería ilegal, por lo tanto, no podemos decirle a casa que muchas de estas credenciales siguen siendo válidas.

Utilizando motores de búsqueda IoT como BinaryEdge y Shodan, ZDNet identificó dispositivos en todo el mundo. Algunos dispositivos estaban ubicados en las redes de proveedores de servicios de Net conocidos (lo que indicaba que eran enrutadores domésticos o dispositivos IoT), pero otros dispositivos estaban ubicados en las redes de los principales proveedores de servicios en la nube.

El peligro permanece

Un experto en seguridad de IoT (que quería permanecer en el anonimato) le dijo a ZDNet que incluso si algunas entradas en la lista ya no son válidas porque los dispositivos podrían haber cambiado su dirección IP o contraseñas, las listas siguen siendo increíblemente útiles para un atacante experto.

Los dispositivos mal configurados no se distribuyen de manera uniforme en Internet, pero generalmente están agrupados en la crimson de un solo ISP debido a que el own del ISP configura mal los dispositivos al implementarlos en sus respectivas bases de clientes.

Un atacante podría usar las direcciones IP incluidas en las listas, determinar el proveedor de servicios y luego volver a escanear la purple del ISP para actualizar la lista con las últimas direcciones IP.

ZDNet compartió la lista de credenciales con investigadores de seguridad verificados y de confianza que se ofrecieron como voluntarios para contactar y notificar a los ISP y propietarios de servidores.



Enlace a la noticia unique