La lista fue compartida por el operador de un servicio de renta de ataques DDoS.
Un hacker ha publicado esta semana una lista masiva de credenciales de Telnet para más de 515,000 servidores, enrutadores domésticos y dispositivos "inteligentes" de IoT (Internet de las cosas).
La lista, que se publicó en un foro de piratería popular entre hackers, incluye la dirección IP de cada dispositivo, junto con un nombre de usuario y contraseña para el servicio Telnet , un protocolo de acceso remoto que se puede utilizar para controlar dispositivos a través de Internet.
 |
| Imagen: ZDNet |
Según los expertos a quienes ZDNet habló esta semana, y una declaración del mismo pirata informático, la lista se compiló escaneando toda la Internet en busca de dispositivos que estuvieran exponiendo su puerto Telnet. El hacker que intentó usar (1) nombres de usuario y contraseñas predeterminados de fábrica, o (2) combinaciones de contraseña personalizadas pero fáciles de adivinar.
Estos tipos de listas, llamadas "listas de bots", son un componente común de una operación de botnet de IoT. Los hackers escanean Internet para crear listas de bots y luego las usan para conectarse a los dispositivos e instalar malware en ellos.
Estas listas generalmente se mantienen privadas, aunque algunas se filtraron en línea en el pasado, como una lista de 33,000 credenciales Telnet de enrutadores domésticos que se filtró en agosto de 2017. Hasta donde sabemos, esto marca la mayor fuga de contraseñas Telnet conocidas hasta la fecha.
DATOS FILTRADOS POR UN OPERADOR DE SERVICIO DDOS
De acuerdo a ZDNet, la lista fue publicada en línea por el responsable del servicio DDoS-for-hire (DDoS booter).
Cuando se le preguntó por qué publicó una lista tan masiva de "bots", el filtrador dijo que actualizó su servicio DDoS para trabajar encima de las botnets IoT a un nuevo modelo que se basa en alquilar servidores de alto rendimiento de proveedores de servicios en la nube.
 |
| Imagen: ZDNet |
Todas las listas que el pirata informático filtró tienen fecha de octubre a noviembre de 2019. Algunos de estos dispositivos ahora pueden ejecutarse en una dirección IP diferente o utilizar diferentes credenciales de inicio de sesión.
ZDNet no usó ninguno de los datos de nombre de usuario y contraseña para acceder a ninguno de los dispositivos, ya que esto sería ilegal, por lo tanto, no podemos decirle a nuestros lectores que muchas de estas credenciales aún son válidas.
Utilizando motores de búsqueda IoT como BinaryEdge y Shodan, ZDNet identificó dispositivos en todo el mundo. Algunos dispositivos estaban ubicados en las redes de proveedores de servicios de Internet conocidos (lo que indicaba que eran enrutadores domésticos o dispositivos IoT), pero otros dispositivos estaban ubicados en las redes de los principales proveedores de servicios en la nube.
EL PELIGRO PERMANECE
Un experto en seguridad de IoT (que pidió permanecer en el anonimato) le dijo a ZDNet que incluso si algunas entradas en la lista ya no son válidas porque los dispositivos podrían haber cambiado su dirección IP o contraseñas, las listas siguen siendo increíblemente útiles para un atacante experto.
Los dispositivos mal configurados no se distribuyen de manera uniforme en Internet, pero generalmente están agrupados en la red de un solo ISP debido a que el personal del ISP configura mal los dispositivos al implementarlos en sus respectivas bases de clientes.
Un atacante podría usar las direcciones IP incluidas en las listas, determinar el proveedor de servicios y luego volver a escanear la red del ISP para actualizar la lista con las últimas direcciones IP.
ZDNet compartió la lista de credenciales con investigadores de seguridad verificados y de confianza que se ofrecieron como voluntarios para contactar y notificar a los ISP y propietarios de servidores.
Fuente: ZDNet
0 Comentarios