黑客本周发布了大量的Telnet凭据列表,这些凭据用于超过515,000台服务器,家用路由器和IoT(物联网)“智能”设备。
该列表发布在一个流行的黑客论坛上,其中包括每个设备的IP地址,以及Telnet服务的用户名和密码,该服务是一种远程访问协议,可用于通过Internet控制设备。
据ZDNet本周与之交谈的专家以及泄密者本人的说法,该列表是通过扫描整个Internet来查找暴露其Telnet端口的设备而编制的。然后,黑客尝试使用(1)出厂设置的默认用户名和密码,或(2)自定义但易于猜测的密码组合。
这些类型的列表(称为“机器人列表”)是IoT僵尸网络操作的常见组件。黑客扫描互联网以建立漫游器列表,然后使用它们来连接设备并安装恶意软件。
这些列表通常是不公开的,尽管有些列表过去曾在网上泄漏过,例如2017年8月泄漏的33,000个家庭路由器Telnet凭据列表。据我们所知,这是迄今为止已知的最大Telnet密码泄漏。
DDOS服务运营商泄露的数据
据ZDNet了解,该列表是由DDoS for hire(DDoS booter)服务的维护者在线发布的。
当被问及为什么他发布如此庞大的“机器人”列表时,泄漏者说他将DDoS服务从在IoT僵尸网络之上的工作升级为依靠从云服务提供商租用高输出服务器的新模式。
黑客泄露的所有列表的日期均为2019年10月至11月。其中一些设备现在可能在不同的IP地址上运行,或使用不同的登录凭据。
ZDNet并未使用任何用户名和密码组合来访问任何设备,因为这是非法的,因此我们无法分辨出其中许多凭证仍然有效。
通过使用BinaryEdge和Shodan等物联网搜索引擎,ZDNet可以识别全世界的设备。一些设备位于已知互联网服务提供商的网络上(表明它们是家用路由器或IoT设备),而其他设备则位于主要云服务提供商的网络上。
危险依然存在
一位物联网安全专家(想保持匿名)告诉ZDNet,即使列表中的某些条目由于设备可能已更改其IP地址或密码而不再有效,对于熟练的攻击者而言,列表仍然非常有用。
配置错误的设备并非在Internet上平均分布,由于ISP的员工在将设备部署到各自的客户群时会对其进行错误配置,因此它们通常聚集在一个ISP的网络上。
攻击者可能会使用列表中包含的IP地址,确定服务提供商,然后重新扫描ISP的网络以使用最新的IP地址更新列表。
ZDNet与受信任和经过审查的安全研究人员共享了凭据列表,这些研究人员自愿联系并通知ISP和服务器所有者。
*编译:Domino
*来自:ZDNET