Список, содержащий информацию для входа в систему 515 000 устройств, был обнаружен в сети

В новостях о кибербезопасности, как правило, преобладают захватывающие заголовки вымогателей и вредоносные кампании по криптографии, не только потому, что они являются одними из самых распространенных типов атак, но и потому, что они делают замечательные истории. Однако существует еще один тип киберпреступности, который может быть столь же разрушительным, но часто остается вне внимания основных средств массовой информации.

Распределенные атаки типа «отказ в обслуживании» (часто сокращенно обозначаемые как DDoS) не являются особенно впечатляющими, и вы можете утверждать, что по сравнению с вымогателями процесс восстановления, который должны пройти жертвы DDoS, намного короче и намного дешевле. Однако, как показала атака на провайдера DNS Dyn в октябре 2016 года, DDoS может быть очень мощным оружием. Благодаря списку учетных данных, которые были разглашены на прошлой неделе, использовать его теперь стало намного проще.

Киберпреступник пропускает более полумиллиона комбинаций имени пользователя и пароля

Каталин Cimpanu из ZDNet сообщил в воскресенье, что неназванный киберпреступник использовал «популярный хакерский форум» для сброса огромной массы данных для входа в систему. Распределенный по нескольким TXT-файлам, он содержит IP-адреса и имена пользователей и пароли Telnet, которые якобы позволяют киберпреступникам захватывать не менее 515 тысяч подключенных к Интернету конечных точек. Большинство из них являются устройствами IoT.

Telnet, как некоторые из вас могут помнить, также использовался Mirai, вредоносным ПО, которое собирало огромное количество IoT-гаджетов в массивный ботнет и использовало его для запуска некоторых из самых больших DDoS-атак в истории, в том числе на Dyn. Это ужасно устаревший протокол связи, в котором есть несколько уязвимостей, которые делают его неподходящим для использования в наше время. Тем не менее, поставщики IoT продолжают использовать Telnet, и хакерам не нужно повторных приглашений.

Человек, который слил 515 тысяч имен пользователей и паролей, рассказал ZDNet, что использовал данные для входа в систему, чтобы завербовать устройства в ботнет, который он затем сдал в аренду другим киберпреступникам с целью запуска DDoS-атак. Этот вид бизнеса довольно популярен в кибер-подполье, и некоторые преступники зарабатывают на этом немалые деньги, а другие оказываются за решеткой.

Человек, который слил 515 тысяч пар имени пользователя и пароля, не сделал этого, потому что он боялся попасть в неприятности. Он сделал это, потому что он обновил свои настройки, и ему больше не нужны были данные. Очевидно, он полагает, что его бизнес успешен, потому что он сказал ZDNet, что с этого момента его услуга DDoS-for-hire будет полагаться на высокопроизводительные серверы, арендованные у поставщиков облачных услуг.

Отделы по борьбе со злоупотреблениями указанных облачных провайдеров могут захотеть уделять больше внимания тому, кто отныне использует их серверы, потому что переход с IoT-устройств на более мощное аппаратное обеспечение будет способствовать гораздо более существенным атакам DDoS. А пока нам нужно вернуться к утечке учетных данных и посмотреть, какой ущерб они могут нанести.

Насколько опасны утечка имен пользователей и паролей?

Как мы уже упоминали, список IP-адресов, имен пользователей и паролей был опубликован на хакерском форуме, что означает, что любителям киберпреступников, которые планируют запустить DDoS-атаку, даже не нужно идти в так называемую темную сеть или платить деньги, чтобы получить то, что им нужно. Впрочем, все может быть не так просто.

После обнаружения данных Каталин Чимпану загрузил их, но по юридическим причинам он решил не подтверждать их достоверность, войдя в устройства ничего не подозревающих людей. Однако следует сказать, что, по крайней мере, некоторые учетные данные и IP-адреса больше не могут быть использованы. Кроме того, Cimpanu поделился информацией с исследователями в области безопасности, которые находятся в процессе обнаружения владельцев некоторых IP-адресов и информирования их об утечке. Другими словами, сложно сказать, насколько опасны данные. Что мы знаем наверняка, так это то, как все закончилось, где оно сейчас

Сбор информации, которая позволила бы скомпрометировать более полумиллиона устройств, не требовал какого-либо фактического взлома. Получить IP-адреса так же просто, как запустить сканирование через специализированную поисковую систему, и что касается имен пользователей и паролей, существует два их типа. Некоторые из них представляют собой учетные данные по умолчанию, с которыми устройства выходят из коробки, а остальные представляют собой пользовательские, но легко угадываемые имена пользователей и пароли, которые установили владельцы устройств.

Это подчеркивает реальную проблему. Многие люди утверждают, что распространение IoT-устройств облегчает DDoS-атаки, но на самом деле все немного иначе. Проблема не в увеличении количества гаджетов в нашей сети Wi-Fi. Это связано с тем, что мы не хотим и/или не можем обеспечить их надлежащую защиту.