Ένας κατάλογος που περιέχει πληροφορίες σύνδεσης για 515.000 συσκευές έχει διαρρεύσει στο διαδίκτυο

Τα νέα για την Cybersecurity τείνουν να κυριαρχούνται από τις επικεφαλίδες που αιχμαλωτίζουν τις επιδημίες ransomware και τις εξωφρενικές εκστρατείες κρυπτογράφησης όχι μόνο επειδή είναι μεταξύ των πιο συνηθισμένων τύπων επιθέσεων, αλλά και επειδή δημιουργούν μεγάλες ιστορίες. Ωστόσο, υπάρχει ένας άλλος τύπος εγκλήματος στον κυβερνοχώρο, ο οποίος μπορεί να είναι εξίσου καταστροφικός, αλλά συχνά παραμένει εκτός της κύριας προσοχής των μέσων ενημέρωσης.

Οι καταγγελλόμενες απόρριψη υπηρεσιών (συχνά συντετμημένες ως DDoS) δεν είναι ιδιαίτερα θεαματικές και θα μπορούσατε να υποστηρίξετε ότι σε σύγκριση με τα ransomware, η διαδικασία αποκατάστασης που πρέπει να περάσουν τα θύματα των DDoS είναι πολύ μικρότερη και πολύ λιγότερο δαπανηρή. Καθώς η επίθεση στον πάροχο DNS Dyn από τον Οκτώβριο του 2016 κατέδειξε, ωστόσο, το DDoS μπορεί να είναι ένα πολύ ισχυρό όπλο. Χάρη σε μια λίστα διαπιστευτηρίων σύνδεσης που διαρρεύσαμε την περασμένη εβδομάδα, η χρήση της θα μπορούσε τώρα να είναι πολύ πιο εύκολη.

Ένας κυβερνοεγκληματίας διαρρέει πάνω από μισό εκατομμύριο συνδυασμούς ονόματος και κωδικού πρόσβασης

Ο Catalin Cimpanu του ZDNet ανέφερε την Κυριακή ότι ένας ανώνυμος κυβερνοεγκληματίας έχει χρησιμοποιήσει ένα "δημοφιλές φόρουμ hacking" για να πετάξει ένα τεράστιο πλήθος δεδομένων σύνδεσης. Διασπορά σε πολλά αρχεία TXT, περιέχει τις διευθύνσεις IP και τα ονόματα χρηστών Telnet και τους κωδικούς πρόσβασης που μπορούν να επιτρέψουν στους εγκληματίες του κυβερνοχώρου να αναλάβουν όχι λιγότερα από 515 χιλιάδες τελικά σημεία συνδεδεμένα στο διαδίκτυο. Οι περισσότερες από αυτές είναι συσκευές IoT.

Το Telnet, όπως μερικοί από εσάς μπορεί να θυμάστε, χρησιμοποιήθηκε επίσης από το Mirai, το κακόβουλο λογισμικό που συγκέντρωσε ένα τεράστιο αριθμό συσκευών IoT σε ένα τεράστιο botnet και το χρησιμοποίησε για να ξεκινήσει μερικές από τις μεγαλύτερες επιθέσεις DDoS της ιστορίας, συμπεριλαμβανομένου του Dyn. Πρόκειται για ένα θλιβερά ξεπερασμένο πρωτόκολλο επικοινωνίας και έχει μερικές αδυναμίες ασφαλείας που το καθιστούν ακατάλληλο για χρήση σε αυτήν την ημέρα και ηλικία. Παρόλα αυτά, οι πωλητές του IoT συνεχίζουν να χρησιμοποιούν το Telnet και οι χάκερ δεν χρειάζονται δεύτερες προσκλήσεις.

Το άτομο που διαπέρασε τα 515 χιλιάδες ονόματα χρήστη και κωδικούς πρόσβασης δήλωσε στο ZDNet ότι είχε χρησιμοποιήσει τα δεδομένα σύνδεσης για να προσλάβει τις συσκευές σε ένα botnet, το οποίο στη συνέχεια νοίκιασε σε άλλους κυβερνοεγκληματίες για να ξεκινήσει επιθέσεις DDoS. Αυτό το είδος επιχείρησης είναι αρκετά δημοφιλές στο κυβερνοχώρο του μετρό, και ορισμένοι εγκληματίες κάνουν μια αρκετά δεκάρα από αυτό, ενώ άλλοι καταλήγουν πίσω από τα μπαρ.

Το άτομο που διέρρευσε τα 515.000 ζεύγη ονόματος χρήστη και κωδικού πρόσβασης δεν το έκανε, επειδή φοβόταν να μπει στο πρόβλημα. Το έκανε επειδή είχε αναβαθμίσει την εγκατάστασή του και δεν χρειάστηκε πλέον τα δεδομένα. Προφανώς, πιστεύει ότι η επιχείρησή του είναι επιτυχής επειδή είπε στο ZDNet ότι από τώρα και στο εξής η υπηρεσία DDoS-for-hire θα βασίζεται σε διακομιστές υψηλής απόδοσης που ενοικιάζονται από παρόχους υπηρεσιών cloud.

Τα τμήματα κατάχρησης των εν λόγω φορέων σύννεφο μπορεί να θέλουν να δώσουν μεγαλύτερη προσοχή σε ποιος χρησιμοποιεί τους διακομιστές τους από τώρα και στο εξής, επειδή η αναβάθμιση από συσκευές IoT σε σοβαρά ισχυρό υλικό πρόκειται να κάνει για πολύ πιο σημαντικές επιθέσεις DDoS. Εν τω μεταξύ, πρέπει να επιστρέψουμε στα διαπιστευτήρια που διαρρέουν και να δούμε τι είδους ζημιά μπορούν να προκαλέσουν.

Πόσο επικίνδυνα μπορούν να διαρρεύσουν τα ονόματα χρήστη και οι κωδικοί πρόσβασης;

Όπως αναφέραμε ήδη, η λίστα των IP, των ονομάτων χρηστών και των κωδικών πρόσβασης δημοσιεύθηκε σε ένα φόρουμ hacking, πράγμα που σημαίνει ότι οι wannabe κυβερνοεγκληματίες που σκοπεύουν να ξεκινήσουν μια επίθεση DDoS δεν χρειάζεται καν να πάνε στον λεγόμενο σκοτεινό ιστό ή να πληρώσουν χρήματα για να πάρουν αυτό που χρειάζονται. Τα πράγματα ίσως να μην είναι τόσο απλά.

Αφού ανακάλυψε τα δεδομένα, ο Catalin Cimpanu το κατέβασε, αλλά για νομικούς λόγους, αποφάσισε να μην επιβεβαιώσει την εγκυρότητά του καταγράφοντας τις συσκευές των ανυποψίαστων ανθρώπων. Ωστόσο, πρέπει να ειπωθεί ότι τουλάχιστον ορισμένα από τα διαπιστευτήρια και οι διευθύνσεις IP ενδέχεται να μην είναι πλέον χρησιμοποιήσιμα. Επιπλέον, ο Cimpanu έχει μοιραστεί τις πληροφορίες με ερευνητές ασφαλείας που βρίσκονται στη διαδικασία ανακαλύψεων των ιδιοκτητών ορισμένων από τις διευθύνσεις IP και την ενημέρωσή τους για τη διαρροή. Με άλλα λόγια, είναι δύσκολο να πούμε πόσο επικίνδυνα είναι τα εκτεθειμένα δεδομένα. Αυτό που γνωρίζουμε με βεβαιότητα είναι πως κατέληξε εκεί που είναι τώρα.

Η συγκέντρωση των πληροφοριών που θα επέτρεπαν τον συμβιβασμό περισσότερων από μισό εκατομμύριο συσκευών δεν απαιτούσε πραγματική πειρατεία. Η απόκτηση των IP είναι τόσο εύκολη όσο η εκτέλεση μιας σάρωσης μέσω μιας εξειδικευμένης μηχανής αναζήτησης, και όσον αφορά τα ονόματα χρήστη και τους κωδικούς πρόσβασης, υπάρχουν δύο τύποι. Ορισμένα είναι τα προεπιλεγμένα διαπιστευτήρια που βγαίνουν από τις θέσεις των συσκευών και τα υπόλοιπα είναι προσαρμοσμένα αλλά εύχρηστα ονόματα χρήστη και κωδικοί πρόσβασης που έχουν ορίσει οι ιδιοκτήτες των συσκευών.

Αυτό υπογραμμίζει το πραγματικό ζήτημα. Πολλοί άνθρωποι υποστηρίζουν ότι ο πολλαπλασιασμός των συσκευών IoT καθιστά ευκολότερες τις επιθέσεις DDoS, αλλά η αλήθεια είναι λίγο διαφορετική. Το πρόβλημα δεν έγκειται στον αυξανόμενο αριθμό gadgets στο δίκτυό μας Wi-Fi. Λένε με το γεγονός ότι είμαστε απρόθυμοι και/ή ανίκανοι να τις εξασφαλίσουμε σωστά.