Eine Liste mit Anmeldeinformationen von 515.000 Geräten ist online durchgesickert

Cybersicherheitsnachrichten werden in der Regel von schlagzeilengreifenden Ransomware-Ausbrüchen und lähmenden Cryptojacking-Kampagnen dominiert, nicht nur, weil sie zu den häufigsten Arten von Angriffen gehören, sondern auch, weil sie großartige Geschichten liefern. Es gibt jedoch eine andere Art von Cyberkriminalität, die ebenso destruktiv sein kann, aber häufig außerhalb der Aufmerksamkeit der Mainstream-Medien bleibt.

Verteilte Denial-of-Service-Angriffe (oft als DDoS abgekürzt) sind nicht besonders spektakulär, und Sie könnten argumentieren, dass der Wiederherstellungsprozess, den DDoS-Opfer durchlaufen müssen, im Vergleich zu Ransomware viel kürzer und viel billiger ist. Wie der Angriff auf den DNS-Provider Dyn vom Oktober 2016 gezeigt hat, kann DDoS eine sehr mächtige Waffe sein. Dank einer Liste von Anmeldeinformationen, die letzte Woche durchgesickert sind, könnte die Verwendung jetzt viel einfacher sein.

Ein Cyberkrimineller verliert mehr als eine halbe Million Kombinationen aus Benutzernamen und Passwort

Catalin Cimpanu von ZDNet berichtete am Sonntag, dass ein namenloser Cyberkrimineller "ein beliebtes Hacking-Forum" genutzt habe, um eine riesige Menge von Anmeldedaten abzulegen. Es ist auf mehrere TXT-Dateien verteilt und enthält die IP-Adressen sowie Telnet-Benutzernamen und -Kennwörter, mit denen Cyberkriminelle angeblich nicht weniger als 515.000 mit dem Internet verbundene Endpunkte übernehmen können. Die meisten von ihnen sind IoT-Geräte.

Wie sich einige von Ihnen vielleicht erinnern, wurde Telnet auch von Mirai verwendet, der Malware, die eine große Anzahl von IoT-Gadgets zu einem massiven Botnet zusammenfasste und einige der größten DDoS-Angriffe in der Geschichte startete, einschließlich des Angriffs auf Dyn. Es ist ein völlig veraltetes Kommunikationsprotokoll und weist einige Sicherheitslücken auf, die es für die heutige Verwendung ungeeignet machen. Trotzdem setzen IoT-Anbieter weiterhin Telnet ein, und Hacker benötigen keine zweiten Einladungen.

Die Person, die die 515.000 Benutzernamen und Passwörter durchgesickert hat, teilte ZDNet mit, dass sie die Anmeldedaten für die Rekrutierung der Geräte in einem Botnetz verwendet habe, das er dann an andere Cyberkriminelle vermietet, um DDoS-Angriffe auszulösen. Diese Art von Geschäft ist im Cyber-Untergrund ziemlich beliebt, und einige Kriminelle machen einen hübschen Penny daraus, während andere hinter Gittern landen.

Die Person, die die 515.000 Benutzernamen- und Passwortpaare durchgesickert hat, hat dies jedoch nicht getan, weil sie Angst hatte, in Schwierigkeiten zu geraten. Er tat es, weil er sein Setup aktualisiert hatte und die Daten nicht mehr benötigte. Anscheinend glaubt er, dass sein Geschäft erfolgreich ist, weil er ZDNet sagte, dass sein DDoS-for-Hire-Service von nun an auf Hochleistungsservern basieren würde, die von Cloud-Service-Providern gemietet werden.

Die Missbrauchsabteilungen der genannten Cloud-Anbieter möchten möglicherweise genauer darauf achten, wer von nun an ihre Server nutzt, da das Upgrade von IoT-Geräten auf äußerst leistungsfähige Hardware zu erheblich umfangreicheren DDoS-Angriffen führen wird. In der Zwischenzeit müssen wir zu den durchgesickerten Anmeldeinformationen zurückkehren und sehen, welche Art von Schaden sie anrichten können.

Wie gefährlich können die durchgesickerten Benutzernamen und Passwörter sein?

Wie bereits erwähnt, wurde die Liste der IPs, Benutzernamen und Kennwörter in einem Hacking-Forum veröffentlicht. Möchtegern-Cyberkriminelle, die einen DDoS-Angriff planen, müssen also nicht einmal ins sogenannte Dark Web gehen oder dafür bezahlen Geld, um zu bekommen, was sie brauchen. Die Dinge könnten jedoch nicht so einfach sein.

Nachdem er die Daten entdeckt hatte, lud Catalin Cimpanu sie herunter, entschied sich jedoch aus rechtlichen Gründen, ihre Gültigkeit nicht zu bestätigen, indem er sich auf den Geräten ahnungsloser Personen anmeldete. Es muss jedoch darauf hingewiesen werden, dass zumindest einige der Anmeldeinformationen und IP-Adressen möglicherweise nicht mehr verwendet werden können. Darüber hinaus hat Cimpanu die Informationen an Sicherheitsforscher weitergegeben, die gerade dabei sind, die Eigentümer einiger IP-Adressen zu ermitteln und sie über das Leck zu informieren. Mit anderen Worten, es ist schwierig zu sagen, wie gefährlich die exponierten Daten sind. Was wir mit Sicherheit wissen, ist, wie es dort gelandet ist, wo es gerade ist.

Das Sammeln von Informationen, die das Kompromittieren von mehr als einer halben Million Geräten ermöglichen würden, erforderte kein tatsächliches Hacken. Das Abrufen der IP-Adressen ist so einfach wie das Durchsuchen einer speziellen Suchmaschine. Bei den Benutzernamen und Kennwörtern gibt es zwei Arten. Bei einigen handelt es sich um die Standardanmeldeinformationen, mit denen die Geräte ausgeliefert werden. Bei den übrigen handelt es sich um benutzerdefinierte, aber leicht zu erratende Benutzernamen und Kennwörter, die von den Eigentümern der Geräte festgelegt wurden.

Dies unterstreicht das eigentliche Problem. Viele Leute argumentieren, dass die Verbreitung von IoT-Geräten DDoS-Angriffe einfacher macht, aber die Wahrheit ist ein kleines bisschen anders. Das Problem liegt nicht in der zunehmenden Anzahl von Geräten in unserem Wi-Fi-Netzwerk. Es liegt an der Tatsache, dass wir nicht bereit und/oder nicht in der Lage sind, sie ordnungsgemäß zu sichern.