Hacker filtra contraseñas de 500,000 servidores, enrutadores y dispositivos IoT
Un hacker ha publicado esta semana una lista masiva de credenciales de Telnet. La mencionada lista comprende 515,000 servidores, enrutadores domésticos y dispositivos “inteligentes” de IoT (Internet de las cosas).
La lista, que se publicó en un foro popular de hacking, incluye la dirección IP de cada dispositivo, junto con un nombre de usuario y contraseña para Telnet. Telnet es un protocolo de acceso remoto que se puede utilizar para controlar dispositivos a través de Internet.
Según los expertos a quienes hemos consultado, y una declaración del mismo filtrador, la lista se compiló escaneando todo Internet en busca de dispositivos que estuvieran exponiendo su puerto Telnet. El hacker intentó usar (1) nombres de usuario y contraseñas predeterminados de fábrica, o (2) combinaciones de contraseña personalizadas pero fáciles de adivinar.
Estos tipos de listas, llamadas “listas de bots”, son un componente común de una operación de botnet de IoT. Los hackers escanean Internet para crear listas de bots y luego las usan para conectarse a los dispositivos e instalar malware.
Estas listas generalmente se mantienen privadas, aunque algunas se filtraron en línea en el pasado. Por ejemplo, una lista de 33,000 credenciales Telnet de enrutadores domésticos se filtró en agosto de 2017. Hasta donde sabemos, esta es la mayor filtración de contraseñas Telnet conocidas hasta la fecha.
Datos filtrados por un operador de servicio DDoS
Hasta lo que conocemos al momento, la lista fue publicada en línea por el responsable del servicio DDoS-for-Hire (DDoS booter).
Cuando se le preguntó por qué publicó una lista tan masiva de “bots”, el filtrador dijo que actualizó su servicio DDoS de trabajar encima de las botnets IoT. Es un nuevo modelo que se basa en alquilar servidores de alto rendimiento de proveedores de servicios en la nube.
Todas las listas que el hacker filtró tienen fecha de octubre a noviembre de 2019. Algunos de estos dispositivos ahora pueden ejecutarse en una dirección IP diferente o utilizar diferentes credenciales de inicio de sesión.
No hemos probado ninguno de los combos de nombre de usuario y contraseña para acceder a ninguno de los dispositivos, ya que esto sería ilegal. Por lo tanto, no podemos afirmar que muchas de estas credenciales aún son válidas.
Utilizando motores de búsqueda IoT como BinaryEdge y Shodan, hemos identificado dispositivos en todo el mundo. Algunos dispositivos estaban ubicados en las redes de proveedores de servicios de Internet conocidos, lo que indicaba que eran enrutadores domésticos o dispositivos IoT. Empero otros dispositivos estaban ubicados en las redes de los principales proveedores de servicios en la nube.
El peligro permanece
Un experto en seguridad de IoT (que quiere permanecer en el anonimato) afirmó que algunos datos en la lista pueden ya no ser válidos. Esto porque los dispositivos podrían haber cambiado su dirección IP o contraseñas. No obstante, las listas siguen siendo increíblemente útiles para un atacante experto.
Los dispositivos mal configurados no se distribuyen de manera uniforme en Internet, pero generalmente están agrupados en la red de un solo ISP. Esto debido a que el personal del ISP configura mal los dispositivos al implementarlos en sus respectivas bases de clientes.
Un atacante podría usar las direcciones IP incluidas en las listas para determinar el proveedor de servicios. Posteriormente puede volver a escanear la red del ISP para actualizar la lista con las últimas direcciones IP.
Se ha compartido la lista de credenciales con investigadores de seguridad verificados y de confianza. Estos se ofrecieron como voluntarios para contactar y notificar a los ISP y propietarios de servidores.
En HackWise hemos desarrollado la herramienta Buscador de Leaks, la cual permite a los usuarios con membresía Wiser Elite buscar dentro de múltiples Data Breaches para conocer si su correo y contraseñas han sido filtradas en algún Hackeo.