Datenleck: Passwörter zu 515.000 Servern und IoT-Geräten veröffentlicht

Kriminelle haben die Zugangsdaten und IP-Adressen von über 515.000 Servern, Routern und IoT-Geräten (Internet of Things) in einem einschlägigen Forum veröffentlicht. Laut einem Bericht des Onlinemagazins ZDnet stammen die Daten von einem Betreiber eines DDoS-Dienstes, der seine Dienste von einem Botnetzwerk auf gemietete Cloud-Server portiert hat. Die Geräte sollen über den unverschlüsselten Fernwartungsdienst Telnet erreichbar sein.

Die Liste habe der Betreiber eines DDoS-Dienstes über einen Scan nach offenen Telnet-Zugängen erstellt. Auf diesen habe er die Standardpasswörter bei Geräteauslieferung sowie häufig verwendete Benutzername-und-Passwort-Kombinationen ausprobiert. Die Liste ist auf Oktober bis November 2019 datiert. Ein Teil der Geräte könnte also mittlerweile eine andere IP-Adresse oder geänderte Zugangsdaten haben.

Solche Listen eignen sich dazu, Botnetzwerke aufzubauen. Angreifer können sich über Telnet mit den Geräten verbinden und Schadsoftware aufspielen und anschließend für eigene Zwecke verwenden, beispielsweise DDoS-Angriffe. Manche Hacker versuchen derlei Treiben zu verhindern, indem sie die Geräte mittels Schadsoftware zerstören.

Im Juni 2019 zerstörte die Schadsoftware Silex innerhalb weniger Stunden 2.000 IoT-Geräte, deren Vorbild Brickerbot soll 2017 über 2 Millionen Geräte vernichtet haben. Hierzu versuchten sich die beiden Schadsoftwares mit Standardzugangsdaten bei den betroffenen IoT-Geräten anzumelden. War dies gelungen, überschrieben sie alle eingebundenen Laufwerke und Partitionen mit Zufallsdaten. Silex löscht zudem die Firewall-Regeln, entfernt die Netzwerkkonfiguration und schaltet anschließend das Gerät aus. Auf diese Weise werden die IoT-Geräte unbenutzbar gemacht.