Infiserte rutere danner botnett

Orm lager zombier av bredbåndsutstyr.

Ruteren Linksys WRT54g.
Ruteren Linksys WRT54g. Foto: Linksys
24. mars 2009 - 09:23

Personene som står bak DroneBL DNS Blacklist-tjenestene melder på denne siden at de har oppdaget et ny type botnett. I stedet for å ha kontroll over en mengde infiserte pc-er eller servere, består det nye botnettet av bredbåndsmodemer og rutere.

Zombiene i botnettet har blitt infisert av en orm som kalles «psyb0t».

Felles for nettverksutstyret som ormen angriper, er at det er basert på prosessor med mipsel-arkitektur (MIPS little endian) og har Linux som operativsystem. Angrepene skjer via administrasjonsgrensesnittet, ssh eller telnet mot enheter som befinner seg i en del av det lokale nettverket som er delvis blottlagt for utenomverdenen (DMZ). Dette avhenger dog at disse tjenestene er åpne mot Internett.

Det skal være svake kombinasjoner av brukernavn og passord som gjør at ormen får tilgang, ikke sårbarheter i selve systemene.

Zombiene i botnettet samler ifølge DroneBL-bloggen inn brukernavn og passord gjennom dyp pakkeinspeksjon. All ikke-kryptert trafikk som går gjennom nettverksenheten, kan i teorien skannes på denne måten.

Zombiene skal også kunne skanne etter phpMyAdmin- og MySQL-servere som kan utnyttes, samt bidra i distribuerte tjenestenektangrep (DDoS). DroneBL skal ha oppdaget botnettet i forbindelse med en granskning av nettopp et slik angrep.

Ifølge DroneBL-bloggen antas det at minst 100 000 enheter har blitt infisert.

En melding som har blitt fanget opp på IRC antyder at botnettet nå har blitt lagt ned, men ifølge DroneBL-bloggen opplever man fortsatt HTTP-baserte oversvømmelsesangrep fra IP-adresser som deltar i dette botnettet.

Brukere av de aktuelle nettverksenhetene, for eksempel rutere med OpenWrt eller dd-wrt som operativsystem, anbefales sikre enhetene ved å skru av strømmen, starte enheten på nytt og å velge et godt passord. Det kan også være en god idé å oppgradere til nyeste versjon av programvaren på enheten.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.