Издание ZDNet обратило внимание, что на популярном хакерском форуме недавно был опубликован огромный список из 515 000 учетных данных Telnet для множества серверов, роутеров и различных умных девайсов. Дамп включает IP-адреса устройств, имена пользователей и пароли, а также информацию о протоколе, который можно использовать для удаленного управления устройствами.
Список был обнародован оператором DDoS-ботнета по найму, который утверждает, что составил его самостоятельно, сканируя интернет в поисках плохо защищенных устройств, доступных через Telnet. Для доступа к ним хакер использовал либо учетные данные по умолчанию, либо пользовательские комбинации логинов и паролей, которые легко угадать. Информация в дампе датирована октябрем-ноябрем 2019 года.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Отвечая на вопрос, зачем публиковать столь большой список ботов в открытом доступе, автор дампа ответил, что недавно он обновил свой DDoS-сервис и теперь работает не IoT-бонетами, а полагается на аренду высокопроизводительных серверов у поставщиков облачных услуг. То есть ему список больше не нужен.
Используя IoT-поисковики (BinaryEdge и Shodan), журналисты ZDNet смогли собрать информацию об устройствах из списка. Некоторые из них расположены в сетях известных интернет-провайдеров (очевидно, это роутеры и IoT-девайсы), но другие были замечены в сетях крупных поставщиков облачных услуг.
Неназванные ИБ-специалисты, с которыми поговорили журналисты ZDNet, предупредили, что слитый в сеть список может по-прежнему представлять опасность, даже если некоторые данные в нем более недействительны (за прошедшие месяцы устройства могли изменить свой IP-адрес и пароль). Дело в том, что неправильно настроенные гаджеты обычно распределены по сети неравномерно, однако нередко они массово размещаются в сети одного провайдера, так как при развертывании его персонал массово конфигурирует устройства неправильно. В итоге злоумышленник получает возможность использовать IP-адреса из опубликованного списка, чтобы определить провайдера, а затем повторно и более внимательно просканировать его сеть, пополнив список новыми жертвами.