Data: Środa, 25 marca 2009, 16:24

Botnet na linuksowych modemach

Specjaliści odkryli botnet składający się z modemów i ruterów działających pod kontrolą Linuksa. Został on stworzony przez robaka psyb0t, który działa co najmniej od stycznia bieżącego roku i infekuje urządzenia z Linux Mipsel. To dystrybucja Debian zaadaptowana dla urządzeń z procesorami MIPS.

Robak przeprowadza atak słownikowy, a więc jest w stanie zainfekować te urządzenia, na których ustawiono zbyt słabe hasła. Po instalacji psyb0t zamyka dostęp innym administratorom oraz łączy się z botnetem za pomocą IRC.

Ocenia się, że w skład botnetu wchodziło 100 000 urządzeń z całego świata. Członkowie DroneBL, witryny tworzącej listy niezabezpieczonych IP, które mogą paść ofiarą cyberprzestępców, dokładnie badali botnet i stwierdzili, że psyb0t zagraża każdemu modemowi i ruterowi z systemem Mipsel, który jest zabezpieczony słabymi hasłami.

Analizy botnetu wykazały, że jest on w stanie wyszukiwać wadliwe instalacja PHPMyAdmin oraz MySQL, może też uniemożliwić dostęp do interfejsu rutera, a więc jedynym sposobem na jego pozbycie się jest zresetowanie urządzenia do ustawień fabrycznych.

Po upublicznieniu informacji o botnecie, został on zamknięty przez DroneBL. Prawdopodobnie był to test mający wykazać możliwość stworzenia botnetu z modemów i ruterów. Robak udowodnił, że jest niebezpieczny, tym bardziej, że jego twórcy twierdzą, iż byli w stanie z jednej lokalizacji, rozmawiając przez kanał IRC, zarazić 80 000 ruterów.

Mariusz Błoński