在暗网中发现数百个网络运营商的凭据

Resecurity 警告说，RIPE、APNIC、AFRINIC 和 LACNIC 客户的数百个受损凭据可在暗网上找到。

Resecurity 对暗网进行了彻底扫描，并确定了超过 1,572 名因信息窃取者感染而受损的 RIPE、亚太网络信息中心 （APNIC）、非洲网络信息中心 （AFRINIC） 和拉丁美洲和加勒比网络信息中心 （LACNIC） 的客户。这个数字还包括2024年1月在对命令与控制（C2）服务器和地下市场进行分析后确定的历史记录和新文物。在最近对电信运营商Orange España的高度破坏性网络攻击之后，网络安全界需要重新考虑其保护参与网络工程和IT基础设施管理的员工的数字身份的方法。

Resecurity 已通知受害者，其凭据被 Azorult、Redline、Vidar、Lumma 和 Taurus 等信息窃取者泄露并在暗网上曝光。根据收集到的反馈，网络安全专家能够构建以下统计数据：

•     45% 的人不知道已识别出的泄露凭据，并承认成功更改密码并启用了 2FA;

•     16%的人已经意识到由于恶意代码感染而发现的凭据泄露，并进行了必要的密码更改，并在其账户上启用了2FA;

• 14% 的人知道凭据被泄露，但仅在收到通知（收到声明）后才启用 2FA;

•     20%的受访者承认需要对导致凭据泄露的事件进行更深入的调查;例如，一些收件人承认启用了 2FA，但对入侵发生的方式和时间以及密码窃取者可以从受害者那里窃取哪些凭据（到其他应用程序和系统）缺乏了解;

•     5% 的收件人无法提供任何反馈和/或旨在确定其组织中的相关联系人来审查此问题。

作为被入侵账户的一个例子，Resecurity 概述了属于一个主要数据中心和最大的供应商之一的公开访问凭据，该供应商为非洲的政府和国家电信提供商提供国际规模的网络电话连接。其他已确定的受害者与重要组织有关，包括：

•     来自伊朗的科研机构;

•     来自肯尼亚的主要金融机构;

•     阿塞拜疆最大的IT咨询公司之一，以为企业和政府实体提供电信，集成网络和云解决方案等服务而闻名;

•     西班牙的一家大型金融机构;

•     欧盟最大的赌博提供商之一;

•     总部设在沙特阿拉伯的ICT技术提供商;

•     以色列通信卫星运营商;

•     来自伊拉克的政府机构;

•     非营利性互联网交换中心（IXP），位于巴林南部省的里法。

值得注意的是，大多数管理网络的网络管理员（被确定为受感染）都使用在免费提供商（包括 Gmail、GMX 和 Yahoo）注册的电子邮件。这些细节对于专注于特定目标（例如网络管理员及其联系人圈）的网络间谍组织来说可能非常有价值。获取有关其个人电子邮件的信息可能会导致更复杂的活动，并提高成功侦察的可能性。

不良行为者的行为超出了简单的凭据盗窃。通过访问网络设置，他们可能会更改现有配置或引入欺骗性元素，从而可能对企业基础架构造成严重破坏。这种未经授权的修改可能导致服务和安全漏洞的严重中断，这凸显了在保护数字资产方面提高警惕和强大的安全协议的迫切需要。

收集到的统计数据可以证实，参与网络工程和关键任务 IT 管理操作的员工也可能成为恶意代码的受害者。他们的账户（一旦遭到入侵）有可能成为大规模网络攻击的“唾手可得的果实”。

Resecurity 的网络安全专家强调了暗网带来的风险不断升级，恶意行为者可能会利用 ISP/电信工程师、数据中心技术人员、网络工程师、IT 基础设施经理和为其企业客户管理网络的外包公司的受损凭据。因此，此员工类别代表了复杂威胁参与者的高价值目标。Resecurity 的暗网分析突出了风险形势，确定了属于网络工程师的多个受损凭据，这些凭据可能授予威胁行为者访问网关的权限，例如：企业身份和访问管理 （IAM）、虚拟化系统、各种云提供商以及备份和灾难恢复系统。

原文始发于微信公众号（HackSee）：在暗网中发现数百个网络运营商的凭据