Hacker legt Kennwörter für mehr als 500.000 Server, Router und IoT-Geräte frei

Hacker legt Kennwörter für mehr als 500.000 Server, Router und IoT-Geräte frei

Ein Hacker hat diese Woche eine umfangreiche Liste von Telnet-Anmeldeinformationen für mehr als 515.000 Server, Heim-Router und „intelligente“ IoT-Geräte (Internet of Things) veröffentlicht.

Die Liste, die in einem beliebten Hacking-Forum veröffentlicht wurde, enthält die IP-Adresse jedes Geräts sowie einen Benutzernamen und ein Kennwort für den Telnet-Dienst, ein Fernzugriffsprotokoll, mit dem Geräte über das Internet gesteuert werden können.

Experten zufolge, mit denen ZDNet diese Woche sprach, und einer Aussage des Leckers selbst, wurde die Liste erstellt, indem das gesamte Internet nach Geräten durchsucht wurde, die ihren Telnet-Port offenlegten. Der Hacker hat versucht, (1) voreingestellte Standardbenutzernamen und -kennwörter oder (2) benutzerdefinierte, aber leicht zu erratende Kennwortkombinationen zu verwenden.

Diese Arten von Listen – „Bot-Listen“ genannt – sind eine häufige Komponente eines IoT-Botnetz-Vorgangs. Hacker durchsuchen das Internet, um Bot-Listen zu erstellen, und stellen dann mit ihnen eine Verbindung zu den Geräten her und installieren Malware.

Diese Listen werden normalerweise privat gehalten, obwohl einige in der Vergangenheit online durchgesickert sind, z. B. eine Liste von 33.000 Telnet-Anmeldeinformationen für Heimrouter, die im August 2017 durchgesickert sind.

DATEN, DIE VON EINEM DDOS-DIENSTLEISTER VERLASSEN WURDEN
Nach Kenntnis von ZDNet wurde die Liste online vom Betreiber eines DDoS-for-Hire-Dienstes (DDoS-Booter) veröffentlicht.

Auf die Frage, warum er eine so umfangreiche Liste von „Bots“ veröffentlicht habe, gab der Leaker an, dass er seinen DDoS-Service von der Arbeit an IoT-Botnetzen auf ein neues Modell umgestellt habe, das auf der Anmietung von Hochleistungsservern von Cloud-Dienstanbietern beruhe.

Alle vom Hacker geleakten Listen sind von Oktober bis November 2019 datiert. Einige dieser Geräte werden jetzt möglicherweise unter einer anderen IP-Adresse ausgeführt oder verwenden andere Anmeldeinformationen.

ZDNet hat für den Zugriff auf die Geräte keine Kombination aus Benutzername und Kennwort verwendet, da dies illegal wäre. Daher können wir nicht feststellen, dass viele dieser Anmeldeinformationen noch gültig sind.

Mit IoT-Suchmaschinen wie BinaryEdge und Shodan identifizierte ZDNet Geräte auf der ganzen Welt. Einige Geräte befanden sich in den Netzwerken bekannter Internetdienstanbieter (was darauf hinwies, dass es sich entweder um Heimrouter oder IoT-Geräte handelte), andere Geräte befanden sich jedoch in den Netzwerken der wichtigsten Clouddienstanbieter.

GEFAHR BLEIBT
Ein IoT-Sicherheitsexperte (der anonym bleiben wollte) teilte ZDNet mit, dass einige Einträge in der Liste auch dann nicht mehr gültig sind, wenn Geräte möglicherweise ihre IP-Adresse oder ihr Kennwort geändert haben. Die Listen sind jedoch für einen erfahrenen Angreifer unglaublich nützlich.

Fehlkonfigurierte Geräte sind nicht gleichmäßig über das Internet verteilt, sie werden jedoch normalerweise im Netzwerk eines einzelnen Internetdienstanbieters geclustert, da die Mitarbeiter des Internetdienstanbieters die Geräte bei der Bereitstellung auf ihren jeweiligen Kundenbasis falsch konfiguriert haben.

Ein Angreifer kann die in den Listen enthaltenen IP-Adressen verwenden, den Dienstanbieter ermitteln und dann das Netzwerk des Internetdienstanbieters erneut scannen, um die Liste mit den neuesten IP-Adressen zu aktualisieren.

ZDNet teilte die Anmeldeinformationsliste mit vertrauenswürdigen und geprüften Sicherheitsforschern, die sich freiwillig meldeten, um ISPs und Serverbesitzer zu kontaktieren und zu benachrichtigen.