image

Botnet worm infecteert 100.000 routers en modems

dinsdag 24 maart 2009, 09:42 door Redactie, 4 reacties

Onderzoekers zijn op een unieke worm gestuit die het alleen op routers en modems (kabel en DSL) heeft voorzien en al zeker 100.000 apparaten heeft besmet. De worm kan alle Linux mipsel routers en modems aanvallen, als die tenminste over een router administration interface, sshd of telnetd in een DMZ beschikken en van een zwakke gebruikersnaam / wachtwoord combinatie zijn voorzien. Psyb0t, zoals de worm heet, is sinds januari van dit jaar actief en laat desktopcomputers en servers met rust. Om de routers en apparaten over te nemen gebruikt het verschillende strategieen, zoals het brute-forcen van gebruikersnamen en wachtwoorden. Eenmaal toegang tot het apparaat gebruikt het deep packet inspection om andere inloggegevens te stelen. Daarnaast kan het voor kwetsbare phpMyAdmin en MySQL servers scannen. Met name de NB5 ADSL/ADSL2+ modem-router van Netcomm is een gewillig slachtoffer.

Naast het stelen van wachtwoorden en gebruikersnamen wordt het botnet voornamelijk ingezet voor het uitvoeren van DDoS-aanvallen, aldus onderzoekers van DroneBL, die tevens beweren dat het botnet hen aanviel. "Zoals gezegd is dit het eerste bekende botnet dat netwerkapparatuur van consumenten aanvalt, zoals routers en kabel en DSL. Veel machines lijken kwetsbaar te zijn en de omvang van het botnet is niet met zekerheid vast te stellen." Toch schatten de onderzoekers dat zo'n 100.000 machines al besmet zijn geraakt. "De maker van deze worm heeft, gezien de bot, uitgebreide en uitstekende kennis van programmeren. Er moet onmiddellijk actie worden ondernomen om deze worm te stoppen voordat die groter groeit."

Ontkenning
Onderzoekers kwamen in contact met de botnetbeheerder, die liet weten dat het alleen om een test ging. Naar eigen zeggen infecteerde hij 80.000 machines. Ook ontkent hij gegevens te hebben gestolen of DDoS-aanvallen te hebben uitgevoerd. "Het was leuk, tijd om weer verder te gaan." Toch houden de onderzoekers van DroneBL in het midden of de botnetbeheerder de waarheid spreekt. IP's uit het botnet zouden wel degelijk HTTP-floods hebben veroorzaakt.

"We hopen dat fabrikanten van routers en modems dit incident in de gaten houden en hun firmware tegen toekomstige aanvallen beschermen." Gebruikers die besmet zijn geraakt krijgen het advies om de router of modem uit en vervolgens weer aan te zetten, de laatste firmware te installeren en een sterk wachtwoord te gebruiken. Het idee voor de aanval is niet nieuw, aldus David Harley van virusbestrijder ESET, aangezien er in 2006 al een paper over het onderwerp verscheen.

Reacties (4)
24-03-2009, 10:19 door Napped
Toen ik de titel las schrok ik toen ik het engelse artikel ging lezen wist ik dat ik safe zat.

Modem's met custom password en geen toegang van buiten af.

Ik zelf zit op een Wanadoo livebox, deze draait op linux.
Wel een sneaky techniek waar je niet snel achterkomt.
En hij lijkt voornamelijk uit te zijn op rapidshare passwords.
24-03-2009, 21:38 door Karl Hungus
Door Napped
En hij lijkt voornamelijk uit te zijn op rapidshare passwords.
O ja? In de bronnen vind ik daar niks over.
25-03-2009, 09:41 door Napped
Door Karl Hungus
Door Napped
En hij lijkt voornamelijk uit te zijn op rapidshare passwords.
O ja? In de bronnen vind ik daar niks over.

Het stond AFAIK op DroneBl maar die is momenteel down, hier is een quote uit de PDF.
Uit het commando gedeelte op de laatste pagina
.rs – some association with rapidshare, bot contains strings for HTML rapidshare login pages

Op droneBL werdt dit omschreven als een Fake Rapidshare page voor phising doeleinden.
En tevens stond er op DroneBL ook een ander commando voor Deep Packet Inspection voor passwords van onder andere Rapidshare.

Jammer dat DroneBL down is zodat ik het niet kan quoten.


En daar maakte ik deze conclusie uit , en ik weet assumption is the mother of all fuckups .
25-03-2009, 17:51 door Anoniem
Mijn Foneras zijn MIPS...die zijn dus niet vulnerable voor deze MIPSEL bedreiging :-)
alsook staan ze niet op telnet/ssh/Web te luisteren via de WAN
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.