Lista zawierająca dane logowania do 515 000 urządzeń została wyciekła online

Wiadomości o cyberbezpieczeństwie są zdominowane przez porywające epidemie ransomware i paraliżujące kampanie kryptograficzne nie tylko dlatego, że należą one do najczęstszych rodzajów ataków, ale także dlatego, że tworzą wspaniałe historie. Istnieje jednak inny rodzaj cyberprzestępczości, który może być równie destrukcyjny, ale często pozostaje poza głównym nurtem mediów.

Rozproszone ataki typu „odmowa usługi” (często w skrócie DDoS) nie są szczególnie spektakularne i można argumentować, że w porównaniu z oprogramowaniem ransomware proces odzyskiwania, który muszą przejść ofiary DDoS, jest znacznie krótszy i znacznie tańszy. Jednak, jak wykazał atak Dyn na dostawcę DNS z października 2016 r., DDoS może być bardzo potężną bronią. Dzięki liście poświadczeń logowania, które wyciekły w zeszłym tygodniu, korzystanie z nich może być teraz znacznie łatwiejsze.

Cyberprzestępca przecieka ponad pół miliona kombinacji nazwy użytkownika i hasła

Catalin Cimpanu ZDNet poinformował w niedzielę, że bezimienny cyberprzestępca wykorzystał „popularne forum hakerskie” do zrzucenia ogromnej ilości danych logowania. Rozłożony na kilka plików TXT, zawiera adresy IP oraz nazwy użytkowników i hasła Telnet, które rzekomo pozwalają cyberprzestępcom przejąć nie mniej niż 515 tysięcy punktów końcowych podłączonych do Internetu. Większość z nich to urządzenia IoT.

Telnet, jak niektórzy z was pamiętają, był także wykorzystywany przez Mirai, szkodliwe oprogramowanie, które zebrało ogromną liczbę gadżetów IoT do ogromnego botnetu i wykorzystało je do przeprowadzenia kilku największych w historii ataków DDoS, w tym tego na Dyn. Jest to bardzo przestarzały protokół komunikacyjny i ma kilka luk w zabezpieczeniach, które sprawiają, że nie nadaje się do użytku w dzisiejszych czasach. Niemniej jednak dostawcy IoT nadal zatrudniają Telnet, a hakerzy nie potrzebują drugiego zaproszenia.

Osoba, która ujawniła 515 tysięcy nazw użytkowników i haseł, powiedziała ZDNet, że wykorzystał dane logowania do rekrutacji urządzeń do botnetu, który następnie wypożyczył innym cyberprzestępcom w celu przeprowadzenia ataków DDoS. Ten rodzaj działalności jest dość popularny w cyber podziemiu, a niektórzy przestępcy zarabiają na tym dość grosza, podczas gdy inni kończą za kratkami.

Osoba, która wyciekła z 515 tysięcy par nazwa użytkownika i hasło, nie zrobiła tego, ponieważ bał się wpakować w kłopoty. Zrobił to, ponieważ zaktualizował swoją konfigurację i nie potrzebował już danych. Najwyraźniej uważa, że jego biznes odnosi sukces, ponieważ powiedział ZDNet, że odtąd jego usługa wynajmu DDoS będzie polegać na serwerach o wysokiej wydajności wynajmowanych od dostawców usług w chmurze.

Departamenty nadużyć wspomnianych dostawców usług w chmurze mogą chcieć zwrócić większą uwagę na to, kto używa ich serwerów odtąd, ponieważ uaktualnienie z urządzeń IoT do naprawdę potężnego sprzętu spowoduje znacznie poważniejsze ataki DDoS. W międzyczasie musimy wrócić do ujawnionych danych uwierzytelniających i zobaczyć, jakie szkody mogą wyrządzić.

Jak niebezpieczne mogą być wycieki nazwy użytkownika i hasła?

Jak już wspomnieliśmy, lista adresów IP, nazw użytkowników i haseł została opublikowana na forum hakerskim, co oznacza, że chcący cyberprzestępcy, którzy planują przeprowadzić atak DDoS, nie muszą nawet przechodzić do tak zwanej ciemnej sieci lub płacić pieniądze, aby zdobyć to, czego potrzebują. Jednak rzeczy mogą nie być tak proste.

Po odkryciu danych Catalin Cimpanu pobrał je, ale ze względów prawnych postanowił nie potwierdzać ich ważności, logując się na urządzeniach niczego nie podejrzewających ludzi. Trzeba jednak powiedzieć, że przynajmniej niektóre dane uwierzytelniające i adresy IP mogą nie być dłużej użyteczne. Ponadto Cimpanu udostępnił te informacje badaczom bezpieczeństwa, którzy właśnie odkrywają właścicieli niektórych adresów IP i informują ich o wycieku. Innymi słowy, trudno powiedzieć, jak niebezpieczne są narażone dane. Wiemy na pewno, jak to się skończyło tam, gdzie jest teraz.

Zebranie informacji, które pozwoliłyby na złamanie zabezpieczeń ponad pół miliona urządzeń, nie wymagało żadnego faktycznego włamania. Uzyskiwanie adresów IP jest tak proste, jak skanowanie za pomocą specjalistycznej wyszukiwarki, a jeśli chodzi o nazwy użytkowników i hasła, istnieją dwa ich rodzaje. Niektóre są domyślnymi poświadczeniami, z którymi urządzenia wychodzą z pudełek, a pozostałe są niestandardowymi, ale łatwymi do odgadnięcia nazwami użytkowników i hasłami, które ustawili właściciele urządzeń.

To podkreśla prawdziwy problem. Wiele osób twierdzi, że rozprzestrzenianie się urządzeń IoT ułatwia ataki DDoS, ale prawda jest nieco inna. Problem nie dotyczy rosnącej liczby gadżetów w naszej sieci Wi-Fi. Wynika to z faktu, że nie chcemy i/lub nie jesteśmy w stanie odpowiednio ich zabezpieczyć.