• +54 (011) 4323-9362
  • |
  • de Lun a Vie de 9 a 17 hs
  • |
  • ciberseguridad@ba-csirt.gob.ar
20 enero
Filtración de contraseñas de miles de servidores y dispositivos IoT

De acuerdo con los expertos que dialogaron esta semana con el medio de comunicación ZDNet, y una declaración del delincuente informático, la lista se compiló escaneando toda la Internet en busca de dispositivos que estuvieran exponiendo su puerto Telnet.

Un ciberdelincuente ha publicado esta semana una lista masiva de credenciales de Telnet -un protocolo de acceso remoto que se puede utilizar para controlar dispositivos a través de Internet- para más de 515.000 servidores, enrutadores domésticos y dispositivos "inteligentes" de IoT (Internet de las cosas).

La lista se dio a conocer en un foro de piratería popular, la cual integraba la dirección IP de cada dispositivo, junto con los nombres de usuario y contraseña para el servicio Telnet.

De acuerdo con los expertos que dialogaron esta semana con el medio de comunicación ZDNet, y una declaración del delincuente informático, la lista se compiló escaneando toda la Internet en busca de dispositivos que estuvieran exponiendo su puerto Telnet. La táctica del delincuente fue utilizar nombres de usuario y contraseñas predeterminados de fábrica o combinaciones de contraseña personalizadas pero fáciles de adivinar.

La lista mencionada es de las llamadas "listas de bots". Son un componente común de una operación de botnet de IoT. Los ciberatacantes escanean Internet para crear listas de bots y luego las usan para conectarse a los dispositivos e instalar malware.

ZDNet comunicó que la lista fue publicada en línea por el responsable del servicio DDoS-for-Hire (DDoS booter).

En el momento en el que se le preguntó el motivo por el cual realizó la publicación, el filtrador expresó que actualizó su servicio DDoS (Ataque de Denegación de Servicio) de trabajar encima de las botnets IoT a un nuevo modelo que se basa en alquilar servidores de alto rendimiento de proveedores de servicios en la nube.

Todas las listas que el pirata informático filtró tienen fecha de octubre a noviembre de 2019. Algunos de estos dispositivos ahora pueden ejecutarse en una dirección IP diferente o utilizar diferentes credenciales de inicio de sesión.

Cabe remarcar que no utilizó los combos de nombre de usuario y contraseña para acceder a ninguno de los dispositivos.

Usando motores de búsqueda de IoT como BinaryEdge y Shodan, ZDNet identificó dispositivos en todo el mundo. Algunos estaban ubicados en las redes de proveedores de servicios de Internet conocidos (lo que indicaba que eran enrutadores domésticos o dispositivos IoT), pero otros se encontraban localizados en las redes de los principales proveedores de servicios en la nube.

Un experto en seguridad de IoT le manifestó a ZDNet que “incluso si algunas entradas en la lista ya no son válidas porque los dispositivos podrían haber cambiado su dirección IP o contraseñas, las listas siguen siendo increíblemente útiles para un atacante experto”.

Un delincuente podría usar las direcciones IP incluidas en las listas, determinar el proveedor de servicios y luego volver a escanear la red del ISP para actualizar la lista con las últimas direcciones IP.

Por último, ZDNet compartió la lista de credenciales con investigadores de seguridad verificados y de confianza que se ofrecieron como voluntarios para contactar y notificar a los ISP –significa Proveedor de servicios de Internet, es quien conecta a sus usuarios a la web a través de diferentes tecnologías- y los propietarios de servidores.

Un dato a recordar es que en 2017 se filtraron algunas de estas listas que contenían 33.000 credenciales Telnet de enrutadores domésticos. Hasta que ocurrió este último suceso, había sido considerado la mayor fuga de contraseñas Telnet.

Referencia:

www.zdnet.com/article/hacker-leaks-passwords-for-more-than-500000-servers-routers-and-iot-devices/



Tu opinión nos ayuda a seguir creciendo.
4

Seleccioná la cantidad de estrellas que consideres apropiada.

BA-CSIRT, ¿cómo reportar un indicente de ciberseguridad?