Onderzoekers zijn op een unieke worm gestuit die het alleen op routers en modems (kabel en DSL) heeft voorzien en al zeker 100.000 apparaten heeft besmet. De worm kan alle Linux mipsel routers en modems aanvallen, als die tenminste over een router administration interface, sshd of telnetd in een DMZ beschikken en van een zwakke gebruikersnaam / wachtwoord combinatie zijn voorzien. Psyb0t, zoals de worm heet, is sinds januari van dit jaar actief en laat desktopcomputers en servers met rust. Om de routers en apparaten over te nemen gebruikt het verschillende strategieen, zoals het brute-forcen van gebruikersnamen en wachtwoorden. Eenmaal toegang tot het apparaat gebruikt het deep packet inspection om andere inloggegevens te stelen. Daarnaast kan het voor kwetsbare phpMyAdmin en MySQL servers scannen. Met name de NB5 ADSL/ADSL2+ modem-router van Netcomm is een gewillig slachtoffer.
Naast het stelen van wachtwoorden en gebruikersnamen wordt het botnet voornamelijk ingezet voor het uitvoeren van DDoS-aanvallen, aldus onderzoekers van DroneBL, die tevens beweren dat het botnet hen aanviel. "Zoals gezegd is dit het eerste bekende botnet dat netwerkapparatuur van consumenten aanvalt, zoals routers en kabel en DSL. Veel machines lijken kwetsbaar te zijn en de omvang van het botnet is niet met zekerheid vast te stellen." Toch schatten de onderzoekers dat zo'n 100.000 machines al besmet zijn geraakt. "De maker van deze worm heeft, gezien de bot, uitgebreide en uitstekende kennis van programmeren. Er moet onmiddellijk actie worden ondernomen om deze worm te stoppen voordat die groter groeit."
Ontkenning
Onderzoekers kwamen in contact met de botnetbeheerder, die liet weten dat het alleen om een test ging. Naar eigen zeggen infecteerde hij 80.000 machines. Ook ontkent hij gegevens te hebben gestolen of DDoS-aanvallen te hebben uitgevoerd. "Het was leuk, tijd om weer verder te gaan." Toch houden de onderzoekers van DroneBL in het midden of de botnetbeheerder de waarheid spreekt. IP's uit het botnet zouden wel degelijk HTTP-floods hebben veroorzaakt.
"We hopen dat fabrikanten van routers en modems dit incident in de gaten houden en hun firmware tegen toekomstige aanvallen beschermen." Gebruikers die besmet zijn geraakt krijgen het advies om de router of modem uit en vervolgens weer aan te zetten, de laatste firmware te installeren en een sterk wachtwoord te gebruiken. Het idee voor de aanval is niet nieuw, aldus David Harley van virusbestrijder ESET, aangezien er in 2006 al een paper over het onderwerp verscheen.
Deze posting is gelocked. Reageren is niet meer mogelijk.