L’elenco è stato pubblicato da tempo su Pastebin, ma negli ultimi giorni è diventato virale. E sono tanti gli oggetti che potrebbero essere utilizzati contro di noi per un’ampia gamma di attività fraudolente ed illegali
Attenzione, un elenco contenente le credenziali di accesso mediante Telnet a migliaia di dispositivi dell’Internet delle Cose si sta rapidamente diffondendo in rete. In realtà, l’elenco è stato pubblicato da tempo su Pastebin, addirittura da giugno, ma negli ultimi giorni il prezioso elenco è diventato virale. Tutto è iniziato la scorsa settimana, dopo che il ricercatore Ankit Anubhav ha condiviso il link alla pagina di Pastebin via Twitter.
33000+ telnet credentials of IoT devices exposed on pastebin.
Link : https://t.co/v5uGw4Llsv #iot #hacking #malware #infosec @newskysecurity pic.twitter.com/0Lg7q8G0Kq— Ankit Anubhav (@ankit_anubhav) August 24, 2017
L’elenco, sabato pomeriggio, era stato visionato dal più di 22.000 persone. Tante, se pensiamo che giovedì scorso, prima del tweet, solo 1.000 utenti lo avevano consultato. Fortunatamente il contenuto è stato rimosso domenica mattina da Pastebin, ma probabilmente presto sarà disponibile altrove. L’unica cosa che si sa di colui che ha pubblicato l’elenco in giugno è che attraverso il medesimo account ha pubblicato in passato un dump di credenziali di accesso valide di sistemi esposti in rete ed ha condiviso il codice sorgente di una botnet.
Nell’elenco 33 mila indirizzi IP
Vediamo in dettaglio il contenuto dell’archivio. L’elenco include decine di migliaia di credenziali, molti duplicati, ma resta il fatto che migliaia di dispositivi dell’Internet delle Cose (IoT) potrebbero essere acceduti grazie alle stesse. Una volta avuto acceso al dispositivo tramite Telnet è possibile controllarlo completamente ed usarlo per diverse attività illegali, ad esempio per reclutarlo in una botnet utilizzata per lanciare un attacco DDoS, come accaduto in passato per la botnet Mirai. L’elenco contiene 33.000 indirizzi IP, sono molte le ripetizioni, alcuni di essi sono presenti anche 10 volte, circostanza che suggerisce che probabilmente gli IP sono stati utilizzati più volte da attori differenti. Il Pastebin include anche numerosi script dai titoli eloquenti “Easy To Root Kit”, “Mirai Bots”, “Mirai-CrossCompiler”, “Apache Struts 2 RCE Auto-Exploiter v2”), “Slowloris DDoS Attack Script”.
Molti dei dispositivi compresi nell’elenco utilizzano delle credenziali predefinite e ben note (ad esempio: admin: admin, root: root, o nessuna autenticazione richiesta).
Le credenziali maggiormente utilizzate sono:
- root: [vuoto] -782
- admin: admin-634
- radice: radice-320
- admin: default-21
- predefinito: [vuoto] -18
Migliaia di dispositivi alla mercé di hacker
Il popolare ricercatore Victor Gevers, fondatore della GDI Foundation, ha analizzato l’elenco ed ha confermato che è composto da più di 8200 indirizzi IP univoci, circa 2.174 sono ancora accessibili tramite le credenziali Telnet pubblicate online.
Avete capito bene, migliaia di dispositivi sono letteralmente alla mercé di hacker e criminali informatici
L’analisi degli indirizzi IP dell’elenco ha rivelato che ben il 61% di essi si trova in Cina, altri sono localizzati in Giappone ed India.
Questo caso evidenzia, ove mai ve ne fosse bisogno, l’importanza di configurare e proteggere adeguatamente i dispositivi IoT che quotidianamente utilizziamo. Le presenza di un numero elevato di elevato di dispositivi in rete configurato con credenziali di default è la dimostrazione della scarsa consapevolezza nella minaccia. Dai router agli Smart TV, tutti oggetti che potrebbero essere utilizzati contro di noi per un’ampia gamma di attività fraudolente ed illegali, dallo spionaggio al sabotaggio.
