Обнаружен ботнет из роутеров и DSL-модемов

�сследователи из DroneBL сообщили о том, что несколько недель назад, борясь с нацеленной на их сервис DDoS-атакой, наткнулись на необычный ботнет. Пристальное изучение показало, что червь под названием psyb0t захватывает исключительно роутеры и DSL-модемы, напрочь игнорируя обычные компьютеры.

Заражению подвергаются любые маршрутизаторы на базе Linux/MIPS, доступ к администрированию которых производится через службы sshd или telnetd, при условии, что сами устройства находятся в демилитаризованной зоне DMZ.

Как выяснилось, первые упоминания об этом вредоносе появились ещё в декабре прошлого года. Тогда речь шла только об ADSL-модемах Netcomm NB5 и аналогичных аппаратах, а для захвата управления над ними червь использовал значения логина и пароля по умолчанию. При этом уязвимость, которой пользовался тогда psyb0t, существует только в определённой версии прошивки устройства, и в более поздних версиях уже устранена.

Однако, судя по всем признакам, специалисты из DroneBL имели дело с более совершенной версией червя, которая для взлома маршрутизаторов использовала перебор пар логин-пароль по списку. Кроме того, раньше не было замечено, чтобы зомби-роутеры получали какие-либо инструкции из координирующего центра, хотя такая возможность и была предусмотрена посредством одного из IRC-каналов. Однако в DroneBL имели все основания предполагать, что ботнет использовался для проведения распределённой DoS-атаки на их серверы.

Впрочем, не успело подробное описание червя появиться в блоге DroneBL, как поступила новая информация автора psyb0t. Он уверяет, что написал червя с исследовательскими целями и теперь прекращает дальнейшую работу над ним. Также он уверяет, что сумел захватить порядка 80 000 устройств, но никогда не использовал этот ботнет для DDoS-атак, фишинга или кражи личных данных.

Пока трудно сказать, действительно ли автор червя, некий DRS, решил "завязать", поэтому специалисты DroneBL предлагают немедленно принять меры по лечению зараженных роутеров. Для этого устройство следует сбросить к установкам по умолчанию, установить на него последнюю версию прошивки и защитить каким-нибудь устойчивым к подбору паролем.

« Предыдущая новость     Следующая новость »