Botnet na linuksowych modemach
Specjaliści odkryli botnet składający się z modemów i ruterów działających pod kontrolą Linuksa. Został on stworzony przez robaka psyb0t, który działa co najmniej od stycznia bieżącego roku i infekuje urządzenia z Linux Mipsel. To dystrybucja Debian zaadaptowana dla urządzeń z procesorami MIPS.
Robak przeprowadza atak słownikowy, a więc jest w stanie zainfekować te urządzenia, na których ustawiono zbyt słabe hasła. Po instalacji psyb0t zamyka dostęp innym administratorom oraz łączy się z botnetem za pomocą IRC.
Ocenia się, że w skład botnetu wchodziło 100 000 urządzeń z całego świata. Członkowie DroneBL, witryny tworzącej listy niezabezpieczonych IP, które mogą paść ofiarą cyberprzestępców, dokładnie badali botnet i stwierdzili, że psyb0t zagraża każdemu modemowi i ruterowi z systemem Mipsel, który jest zabezpieczony słabymi hasłami. Niezależnie od położenia geograficznego i modelu urządzenia. Wykrycie infekcji jest trudne, a można tego dokonać jedynie dzięki szczegółowej analizie ruchu przychodzącego i wychodzącego.
Analizy botnetu wykazały, że jest on w stanie wyszukiwać wadliwe instalacje PHPMyAdmin oraz MySQL, może też uniemożliwić dostęp do interfejsu rutera, a więc jedynym sposobem na jego pozbycie się jest zresetowanie urządzenia do ustawień fabrycznych.
Po upublicznieniu informacji o botnecie, został on zamknięty przez DroneBL. Prawdopodobnie był to test mający wykazać możliwość stworzenia botnetu z modemów i ruterów. Robak udowodnił, że jest niebezpieczny, tym bardziej, że jego twórcy twierdzą, iż byli w stanie z jednej lokalizacji, rozmawiając przez kanał IRC, zarazić 80 000 ruterów.
Komentarze (2)
Tolo, 25 marca 2009, 16:47
Piękna technologia od dłuższego czasu zastanawiałem się tylko kiedy ktoś taki bot net stworzy.
Teoretycznie trudno wykrywalne. Praktycznie prawie wcale, ile nie będzie się łasił na pasmo.
Atak słownikowy nieco mnie zdziwił bo nie myślałem ze ktoś posunie się do czegoś takiego (względnie słaba efektywność) chociaż z drugiej strony nie ma w tym nic specjalnie dziwnego bo troszkę mocy obliczeniowej i pasma można ruterowi uszczknąć niezauważanie i łamać następna hasła. Ale przyznam się ze osobiście spodziewałem się ze ktoś użyje raczej haseł uniwersalnych.
Nie zmienia to jednak jednego faktu weszliśmy w nową erę (nie)bezpieczeństwa informatycznego której obawiałem się już od jakiegoś czasu. Ponieważ jest to taki dość śmierdzący bobek bo tak naprawdę mając hasło można zaatakować skutecznie dowolne dzisiaj używane urządzenie z systemem wbudowanym.
Jest to bardzo niebezpieczny precedens bo taki ruter jest w stanie wysyłać dziesiątki spamów i robić wiele brzydkich rzeczy które robią bot nety ale to jest również idealne miejsce na atak typu man-in-the-mile.
Szczególnie ze statystyczny kowalski nie ma jak śledzić co wychodzi z rutera na interface podłączonym do DSL`a.
I tak naprawdę to mogą tam nawet biegać krasnoludki z pakietami. Tak naprawdę to nie ma też jak się przed tym zabezpieczyć bo dziś można dać długie hasło "śmieciowe" np '[saofi43563456qoifsy2542gqo[i'
Ale co będzie jutro ? Jak się okaże ze firmware jest dziurawe jak szwajcarski ser? i kilka pakietów wystarczy żeby zrobić ruterowi kuku? i już nie trzeba będzie łamać haseł brut-force.
Boje się nowej fali cyberprzestępczości skierowanej przeciw urządzeniom wbudowanym mój ulubiony przykład to taki troszkę absurdalny atak na "inteligętna" lodówkę i podgrzanie piwa. I o ile wczoraj mnie to śmieszyło bardzo dziś już tylko trochę a za jakiś czas będę miał ciepłe piwo w lodówce.
wilk, 27 marca 2009, 00:09
Kiedy? Przecież takie rzeczy od wielu, wielu lat są robione. I prawdę mówiąc nie widzę niczego przełomowego w newsie.
Atak słownikowy daje optymalne wyniki przy rozsądnym czasie ataku. A jak nie ten, to inny cel zawsze się trafi. Natomiast hasła typowe (i serwisowe) zazwyczaj idą także na pierwszy ogień. Zresztą jak słusznie zauważyłeś pierw szuka się słabych punktów w dostępnych usługach.