Passwörter für mehr als 500.000 Server, Router und IoT-Geräte veröffentlicht

Ein Hacker hat in der vergangenen Woche eine umfangreiche Liste mit Telnet-Anmeldedaten für mehr als 510.000 Server, Home-Router und smarte Geräte der Kategorie Internet der Dinge veröffentlicht. Sie enthält neben der jeweiligen IP-Adresse auch den Nutzernamen und das Passwort für den Telnet-Dienst.

Die Daten wurden in einem bekannten Hacker-Forum bereitgestellt. Telnet wiederum ist ein Netzwerkprotokoll, um zwischen einem Client und einem Server eine TCP-Verbindung herzustellen, die es erlaubt, ein Gerät aus der Ferne zu steuern. Telnet ist unter anderem ein Bestandteil der Betriebssysteme Linux, Unix und Windows, auch wenn es unter Windows inzwischen ab Werk nicht mehr aktiv ist.

Einer Stellungnahme des Hackers zufolge wurde die Liste bei Scans nach Geräten zusammengestellt, die über einen offenen Telnet-Port verfügen. Danach setzte er gegen diese Geräte bekannte voreinstellte Anmeldedaten ein sowie bekannte und leicht zu erratende Kombinationen aus Nutzernamen und Passwörtern.

Solche Listen, auch Bot Lists genannt, werden häufig von Hackern im Zusammenhang mit IoT-Botnetzen verwendet. Normalerweise werden sie jedoch vertraulich gehandelt und nicht öffentlich gemacht. 2017 sickerte jedoch eine solche Liste durch, die Anmeldedaten von 33.000 Heimroutern enthielt.

Nach Informationen von ZDNet.com betreibt der Leaker der aktuellen Liste ein DDoS-Botnet, dass er an andere Hacker vermietet. Auf Nachfrage erklärte er, dass er sein Geschäftsmodell geändert habe und nicht mehr auf IoT-Botnetze setze und stattdessen Server von Cloud-Service-Providern miete.

Die Daten in der Liste sind auf dem Stand von Oktober beziehungsweise November 2019. Es ist also nicht ausgeschlossen, dass einige der IP-Adressen sowie auch Anmeldedaten nicht mehr aktuell sind. Während ZDNet.com die Funktionsfähigkeit der Nutzernamen und Passwörter nicht überprüfte, ergab eine Suche nach Telnet-Geräten weltweit per BinaryEdge und Shodan zahlreiche Ergebnisse.

Ein Sicherheitsexperte, der anonym bleiben wollte, erklärte ist, dass die Liste, auch wenn sie nicht mehr aktuell sei, für erfahrene Angreifer sehr wertvoll sei. Falsch oder unsicher konfigurierte Geräte seien in der Regel nicht gleichmäßig über das Internet verteilt, sondern ballten sich häufig in den Netzwerken bestimmter Internet Service Provider. Die IP-Adressen in der Liste ermöglichten es Cyberkriminellen, solche Internetanbieter zu identifizieren und dann gezielt in deren Netzen nach aktuellen IP-Adressen zu suchen. ZDNet.com betonte in dem Zusammenhang, die Liste nur an vertrauenswürdige Forscher weitergegeben zu haben.