Een onderzoeker heeft een IRC-botnet uitgeschakeld dat allerlei routers infecteerde, waaronder die DD-WRT en OpenWRT draaiden. DD-WRT en OpenWRT zijn op Linux-gebaseerde besturingssystemen voor routers, die vaak meer mogelijkheden dan het al geïnstalleerde besturingssysteem bieden.

De onderzoeker, die anoniem wil blijven, ontdekte het botnet via een Kippo SSH honeypot die hij had opgezet. De aanval begint met het inloggen via zwakke wachtwoorden. In het geval dit succesvol is worden er verschillende scripts op de router uitgevoerd, onder andere voor het downloaden van de malware. "Er wordt ook geprobeerd om de nvram variabele rc_firewall, die vaak in DD-WRT en OpenWRT wordt gebruikt, van een backdoor te voorzien", aldus de onderzoeker.

Waarschuwing

De botnetbeheerder had zijn infrastructuur niet goed beveiligd waardoor de onderzoeker kon kijken uit hoeveel bots het netwerk bestond en was hij in staat om de bots opdrachten te geven. Iets wat de onderzoeker ook doet. Hij stuurt via het IRC-kanaal waarmee de botnetbeheerder het botnet bestuurt een bericht naar de getroffen gebruikers dat ze via een zwak SSH-wachtwoord zijn gehackt en ze hun wachtwoord moeten wijzigen. Voor de waarschuwing werden 1807 bots aangetroffen, een dag na de waarschuwing waren dit er nog maar 15, meldt Barracuda Labs.