Someone Hacked 50,000 Printers to Promote PewDiePie YouTube Channel

 ( toMpEr | 2018. december 1., szombat - 21:29 )

A hacker yesterday hijacked more than 50,000 internet-connected printers worldwide to print out flyers asking everyone to subscribe to PewDiePie YouTube channel:

PewDiePie, the currently most subscribed to channel on YouTube, is at stake of losing his position as the number one position by an Indian company called T-Series that simply uploads videos of Bollywood trailers and songs.

--- WHAT TO DO ---                         
                                                       
1. Unsubscribe from T-Series                       
2. Subscribe to PewDiePie

A hacker by the named of TheHackerGiraffe, took credit for the stunt, and revealed to Engadget that he found the suspectible printers via Shodan.io -- which is essentially a search engine that finds unsecured and vulnerable devices that are connected to the Internet, like many printers. According to TheHackerGiraffe, there were about 800,000 printers that could have been exploited.

TheHackerGiraffe said while speaking to The Verge. “Hackers could have stolen files, installed malware, caused physical damage to the printers and even use the printer as a foothold into the inner network.

"The most horrifying part is: I never considered hacking printers before, the whole learning, downloading and scripting process took no more than 30 minutes.”

As for how it was done, the hacker claims it was via a tool called PRET (https://github.com/RUB-NDS/PRET), which allows for hackers to capture and manipulate print jobs by accessing a printer's file system and memory. Using the tool, a hacker could cause physical damage to the device or use said device as a foothold to get into the inner network that the printer is connected to.

https://thehackernews.com/2018/11/pewdiepie-printer-hack.html
https://twitter.com/HackerGiraffe/status/1068714506770149376

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Search port:9100,515,721 country:hu

Total Results 1,343
Top Organizations:
BME 59
KIFU (Governmental Info Tech Development Agency) 30
University of Pecs 25
University of Pannonia 25

A lefuttatott script meg ennyi volt:

#!/bin/bash
while read -r line; do
    ip="$line"
    torify ./PRET/pret.py $ip pjl -q -i ./commands.txt
done < "./potential_bros.txt"

Köszönöm, már mennek is a lecsóba.

Engem a BME nem lep meg különösebben. Mikor ott dolgoztam, több olyan tanszék is volt (különböző karokon), amik a BME (teljesen publikus) hálózatát helyiként használták, mindenféle tűzfal nélkül. A tanszék, ahol dolgoztam, csak hosszas nyekergés után váltott managed switch-ekre, ott már legalább a bejövő kérések jó részét el lehetett dobálni L3 szinten, de az inkább a kivétel volt. (Képzeljük el a 70+-os vegyész felhasználót Windows XP-vel és 100/100-as full duplex, tűzfalmentes nettel!) Igazából BME alapú botnet sem lepne meg.

(Talán 25-ös portot szűrik, de már nem emlékszem 100%-osan, rég volt.)
--
https://naszta.hu

2000 korul schban(!) az smb sem volt tiltva, sokan nem kapcsoltak ki a gepukat ejjel, szepen lejott egy-egy film masnapra :)

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

vagy letörlődött a system32, merugye az public rw a printer megosztás miatt xd

Másik szép emlék: 2004-2005 tájékán egy rezidens társam elkezdte újratelepíteni a Windows-os gépét. Természetesen éjszakába nyúlt, ahogy az update-ek csorogtak fel rá és vagy 25x újra kellett indítani. Ott hagyta másnapig. Másnapra az IT lekapcsolta a hálózatról. Már akkor is voltak manage-elt switch-ek. Hajnalban akkora forgalmat kezdett bonyolítani, hogy blokkolták a hálózati forgalmat. A helyi IT még személyesen is átjött. Akkoriban sok remote sebezhetőség volt és az alap install CD-vel sebezhetően települt az XP, amíg el nem jutott a user valamelyik service pack-ig (már nem emlékszem pontosan). Az éjszaka megtalálták a net-en a félkész gépet, szintén NAT-olás nélkul, valós IP-vel. Pár óra múlva már warez szerver üzemelt rajta. Akkoriban még a torrent előtti fájlcserélő érában voltunk. Az egyetemi gépeknek elég jó volt a sávszélessége. Filmek, zenék, játékok és minden volt rajta, ami szem-szájnak ingere.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Régi szép emlékek...
SOTE-n, 2003 környékén voltam gyakorlaton egy diagnosztikai részlegen, ahol egy célprogramot futtató Win 95-ös gép NAT-olás nélkül lógott a NET-en. Szóltak, hogy lelassult. Na mondom megnézem. Elég gyanús volt, nekiálltam egy vírusirtó rescue CD-vel átnézni. Több, mint 50 fajta vírus volt rajta, gyakorlatilag azért lassult le, mert egymás működését akadályozták. Sajnos akkor még nem volt okos telefonom, nem mentettem le...
Olyat még egy Norton vagy Kaspersky szintű vírus laborban is nehéz előállítani manapság, hogy ennyi legyen egyszerre.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

"Olyat még egy Norton vagy Kaspersky szintű vírus laborban is nehéz előállítani manapság, hogy ennyi legyen egyszerre."
Persze, mert manapság már a vírusok is néha vírusirtóként funkcionálnak (direkt ellehetetlenítik - törlik a konkurens vírust) :)
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Hackers are taking over Chromecasts to promote PewDiePie’s channel
"If you came here because you’re a victim of #CastHack, then know that your Chromecast/SmartTV/GoogleHome is exposed to the public internet, and is leaking sensitive information related to your device and home"
https://www.theverge.com/2019/1/2/18165386/pewdiepie-chromecast-hack-tseries-google-chromecast-smart-tv

Itt lehet követni élőben a scannelést: https://casthack.thehackergiraffe.com/
Progress: 0.04466%, Total devices forced to play video: 491
(bár korábban előrébb jártak, valószínű módosították, majd újraindították a scannelőt)

A shodan 176,095 publikusan elérhető chromecast-ot indexel (csak 79 találat hazai iptartományból), + smart tv-k meg hasonló eszközök

Korábban: Hackers Deface Wall Street Journal With Pro-PewDiePie Message
https://motherboard.vice.com/en_us/article/9k4mz5/hackers-deface-wall-street-journal-wsj-pewdiepie-tseries

Asszem megnezem, hogy az AppleTV-m updatelve van-e :)

Igazából ebben az esetben sem eszközben rejlő, javításra váró biztonsági hibán mennek be, csak rendeltetésszerűen használják az internet felé nyitva hagyott eszközöket, így a firmware update nem segít, a router-t kell rendesen konfigolni.

SmartTV vagy Chromecast internet nélkül?

Nem a kimenő internetet kell letiltani, hanem a bejövőt.

A chromecast prtokolon nincs authentikáció, egy sima http szervert nyit a 8008/8443/8009 porton, így ha azt beengedi a router, akkor

curl -H "Content-Type: application/json" http://IP_GOES_HERE:8008/apps/YouTube -X POST -d 'v=VIDEO_ID_HERE' -t használva bekapcsol a tv, átvált chromecast hdmi portra és lejátszik egy youtube videót.

Valószínű ezen kívül más dolgokra is képes a public api. Elvileg a mikrofont direktben olvasni nem tudja, de az aktuális hang zajszint pl lekérdezhető.

Felig-meddig viccesen akartam jelezni, hogy az nem erintett; es hogy a fenti az egy into tanulsag barmely IoT gyartonak/felhasznalonak.

Igen, ez tipikusan a Google marketingosztályon túli biztonságtudatossága.

Ha extraprofitról van szó, vagy elspúrkodható kiadásokról, akkor bizony háttérbe szorul a felhasználók biztonsága. Példának okáért, a Chrome frissítéseit is azért állították le XP-re és Vistára 2016-ban (mikor amúgy a Vista még akkor támogatott is volt MS által), mert szerették volna, ha biztonságos™ marad a böngészőjük. Véletlenül se azért, hogy egy két buborék nehogy hiányozzék befektetőék jakuzzijából.

  • Félmillió Google+ felhasználó adatainak kiszivárgása. [1] (2015-ben történt, de csak most derült ki, mert arrogáns módon eltitkolták, mert fostak az adatvédelmi szorongatásoktól)
  • Többszázezer 2 lépésben törhető ChromeCast.

Mindezek egy hónapon belül. Gyűlik szépen...

„arrogáns módon eltitkolták”

Ezt még nem ismertem. Ez valami nagyon új módszer lehet. :-)

A FUD természetesen most sem maradhatott le a tech-lakájmédia hasábjairól.

Észrevettétek, hogy a cikk több mint 50%-a (gyakorlatilag a Shodan.io említése után végig) FUD?

A shodan egy indexelő oldal. Leírja és kereshetővé teszi, hogy melyik ip címen porton milyen szolgáltatás érhető el. Ebben mi a FUD?

Nem a shodan.io a FUD. Hanem ami utána következik.

Pár találatot kipróbáltam és a linkelt PRET eszköz le tudta kérdezni az uptime infot. Tovább nem mentem, de feltételezem innentől a nyomtatás nem jelenthet problémát, a postscript pedig lehetőséget ad fájlba írásra/olvasásra, így a többi leírt dolog sem tűnik megvalósíthatatlannak.

Nem a szolgáltatás működését vontam kétségbe. Hanem a hozzá csatolt riogatás szükségességét.

Inkább akkor beidézem.

  • According to TheHackerGiraffe, there were about 800,000 printers that could have been exploited.
    Avagy szinte kész világméretű katasztrófát, nyomtatáscunamit zúdíthatott volna ránk.
  • Hackers could have stolen files, installed malware, caused physical damage to the printers and even use the printer as a foothold into the inner network.
    Tovább fokozzuk. Fájlokat is lophattak volna, kémszoftvereket is telepíthettek volna, szabotázsakciókat is végrehajthattak volna. Sőt, még a nyomtatókat is tönkretehették volna. Nyilván, mind a 800 000-et. Ennél már csak az lett volna jobb, ha leírják, hogy fel is gyújthattak volna nyomtatón keresztül irodákat. Biztos van valami firmware hack, ami túlfűti a hengert vagy valamit elpukkant benne, hogy kigyulladjon.
  • The most horrifying part is: I never considered hacking printers before, the whole learning, downloading and scripting process took no more than 30 minutes.
    Horrifying! Érted? Hátborzongató™, hogy mindenkiből lehet fél óra alatt hacker™, aki a fent említett szörnyűségeket™ bármikor képes megcsinálni.

Érdekes, mégse robbannak fel naponta nyomtatók, vagy mennek tönkre szándékos szabotázsakciók miatt. Ellenben, például a tervezett elavulás miatt simán mennek tönkre, de persze az rendben™ van. Szintén nem jellemző, hogy naponta kirámolják egész irodák adatbázisait, nyomtatókon keresztül. Maga ez a védtelen eszközökön való printelgetés se gyakori.

Szenzációhajhász, totál szükségtelen és értelmetlen FUD-ot láthattunk a tech-lakájmédia részéről, aminek egyértelmű célja a megfélemlítés és az ezen keresztüli látogatottság-vadászat. A célzott reklámok között pedig biztos majd felvillanttanak szuperbiztonságos™ nyomtatókat.

Kb 10 éve ez megy, ezen fennakadni teljesen felesleges. Meg kell tanulni az információt kiszűrni a nyelvezettől függetlenül. Ha ez nem megy akkor eléggé bosszús éveknek nézel elébe, mert nem hiszem, hogy ez javulni fog a közeljövőben.

Teljesen fölösleges összeesküvéselméleteket belegondolni: Egész egyszerűen egyre nehezebb eléri az emberek figyelmét így a cikkírók egyre hatásvadászabb szövegeket és címekkel licitálnak egymásra.

Nos, pont az a probléma a legtöbb ilyen cikkel, mint az összeesküvés-elméletekkel. Hogy totál irreális, életidegen és minden realitást nélkülöző, kifordított, paranoid rémálomvilágokból való, beteg agyszülemények. Valaki eldob egy petárdát szilveszterkor, bértollnokék meg már kishíján terrortámadásról írnak. Végül is, miért ne? Simán odamehet bárki egy benzinkúthoz és felrobbanthat X petárdát, miközben lelocsolja benzinnel. Ehhez még fél órás hekkerképzés sem kell.

Egyébként nem fennakadtam rajta, hanem csak megjegyeztem, hogy FUD. Mert az. Neked pedig leírtam, pontosan melyik részekre gondolok, mert nem egyre gondoltunk.

Szerintem azért nem ugyanaz a kettő: ez a példa szerintem azt mutatta, hogy nem azért nem történt "nyomtatáscunami", mert olyan nehéz lenne megoldani, hanem mert senki nem foglalkozott még ezzel.

Én a belső háló elérését/kódfuttatás lehetőségét is megalapozottnak érzem. Az így kiszolgáltatott API és a PostScript szabvány kellően bonyolult ahhoz, hogy valamilyen hiba legyen benne és valahogy úgy érzem hogy a nyomtató software írásakor a biztonsági tesztelésre nem fordítottak egy maroknyi percnél többet.

Igazából számomra meglepő lenne ha ezt nem használnák ki kémkedésre, úgy hogy egy ország képes volt több 0day sebezhetőséget kihasználva 200ezer számítógépet megfertőzni, azért hogy 1db elszigetelt ipari PLC firmware-jében aktiválva hibát okozzon. (stuxnet)

Nem megalapozott érdemi precedensek nélkül azzal riogatni, hogy bárki 30 perc ráfordításával indíthat nyomtatáscunamit, tehet tönkre többszázezer nyomtatót, vagy lophat el cégektől érzékeny adatokat. Ez nagyjából a Btk. Közveszéllyel fenyegetés kategóriája.

Idézet:
egy ország képes volt több 0day sebezhetőséget kihasználva 200ezer számítógépet megfertőzni, azért hogy 1db elszigetelt ipari PLC firmware-jében aktiválva hibát okozzon. (stuxnet)

Nem 30 perc alatt készült a Stuxnet. Nem amatőrök, nem a lakájmédia címlapjain nyilatkozó sztárhekkerek írták, hanem titkosszolgálati, jól képzett szakemberek. A Stuxnet célzott támadásnak tekinthető. Célzott támadás esetén pedig a frissített™, szuperbiztonságos™ operációs rendszer, nyomtató, router stb. lesz az utolsó, ami meg fog védeni.

> Ez nagyjából a Btk. Közveszéllyel fenyegetés kategóriája.

Súlyosbítom:
- A légszennyezettség veszélyes az egészségre, idén is több millióan fognak meghalni ennek köszönhetően.
- Ne hagyj értéket az autódban jól látható helyen, mert feltörhetik azt.
- Ha nem zárod be az ajtót amikor elmész otthonról, akkor valaki könnyen bemehet és ellophatja az értékeidet.

> Nem megalapozott érdemi precedensek nélkül azzal riogatni, hogy bárki 30 perc ráfordításával indíthat nyomtatáscunamit,

Ez az eset érdemi precedens arra, hogy valaki nyomtatáscunamit indított egy 5 soros scripttel.

> Nem 30 perc alatt készült a Stuxnet. Nem amatőrök, nem a lakájmédia címlapjain nyilatkozó sztárhekkerek írták, hanem titkosszolgálati, jól képzett szakemberek.

Számomra nem megnyugtató, hogy 30percnél több ráfordítást igényel a hackelés. Az én szememben a biztonsági kockázaton az a tény, hogy hogy eddig senki nem használta látvanyosan ezt a többszázezer, fölöslegesen neten lógó, potenciálisan gyenge biztonsággal rendelkező eszközt.

A ransomware/cryptominer megjelenésével az ösztönzési modell is kiépült és ennek hatására megjöttek az egyre szofisztikáltabb malware-ek is:
- wannary: Over 200,000 victims and more than 300,000 computers infected
- 200,000 MikroTik routers are infected by CryptoMining
- VPNFilter: infected approximately 500,000 routers worldwide, though the number of at-risk devices is larger

Akkor egy pillanatra most ne egy 1980-ból ránk maradt 9 tűs mátrix sornyomtatóra gondolj, hanem mondjuk egy MFP-re. Ami kifelé nyújt mondjuk SMB és FTP szolgáltatást (hopp, ott az ellopott fájlok - scannelt doksik), a legtöbb esetben default on és nulla biztonsággal; de ha csak e-mailt tud, átírod a szerver címét a konfigban, átküldöd egy saját szerveren a kimenő leveleket és közben csinálsz róla egy másolatot. Soroljam még?

Ha ehhez hozzáveszed, hogy elég sok eszköz gyakorlatilag egy Linux (vagy BSD) box belül (van ahol még az SSH-t is engedélyezheted... amihez csak egy webes admin cred kell, ami azokon a helyeken, ahol kívülről elérhető az MFP, jó eséllyel a gyári default lesz), ott van a "foothold into the inner network".

Ja, ha SMB _kliensként_ funkcionál, akkor esélyesen valahol el van tárolva benne egy usernév/jelszó, amivel csatlakozik a share-hez. Amihez _technikailag_ elég lenne egy LM/NT hash, de biztos lehetsz benne, hogy plaintext van ott (és akkor ki is lehet szedni). De még ha csak az NT hash kapod is, működik a pass-the-hash - és mondjuk egy ssh port forwardinggal mindezt úgy, mintha a nyomtató csatlakozott volna.

És igen, nagyon sok helyen nincs kompetens személyzet az ilyenekre (és a hálózati nyomtatók egyre gyakoribbak...), az egyetlen, ami miatt az átlagos KKV védve van az a szolgáltatói NAT (btw, vicces lesz, amikor jön az IPv6 ;) )...

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)