Конец марта в этом году ознаменовался двумя важными новостями – во-первых, найден способ помещения
вредоносного кода в память
BIOS, а во-вторых, обнаружено массовое заражение домашних маршрутизаторов
червем под названием
«psyb0t», который превращает роутер в компонент ботнет-сети.
Еще одну серьезную опасность обнаружили администраторы сайта
DroneBL, который занимается мониторингом
IP-адресов, служащих источником различных сетевых атак. Примерно две недели назад на сайт была совершена
DDoS-атака (
Distributed Denial of Service – распределенная атака на отказ в обслуживании). При расследовании
инцидента выяснилось, что атаку производили зараженные роутеры и
DSL-модемы. Дальнейший анализ показал,
что в Интернете появилась первая ботнет-сеть, которая базируется не на ПК и серверах, а на сетевом оборудовании
домашнего уровня. Эта вредоносная сеть вместе с червем, распространяющим заразу, получила название
«psyb0t».
Механизм заражения
«psyb0t» оказался довольно необычным. Заражению подвержены любые устройства с
маршрутизацией пакетов на базе операционной системы
Linux Mipsel, снабженные административным интерфейсом,
либо открывающие доступ через службы
sshd или
telnetd для защищенной зоны
DMZ, если у них заданы слабые
сочетания имени пользователя и пароля (включая устройства
openwrt/dd-wrt). Червь
«psyb0t» использует специальный
алгоритм подбора имен пользователя и паролей, а также несколько стратегий для перехвата управления устройством.
После заражения червь
«psyb0t» встраивает фрагмент вредоносного кода в операционную систему устройства
– в состав червя входят варианты кода для нескольких версий системы
Mipsel, они загружаются с центрального
сервера злоумышленников. Затем червь закрывает конечному пользователю доступ к устройству по
telnet, sshd
и через веб-интерфейс, а сам начинает исследовать все проходящие через устройство пакеты, выуживая из них
различные имена и пароли. Также червь пересылает своим владельцам информацию о наличии в локальной сети
серверов с уязвимыми конфигурациями службы
phpMyAdmin и СУБД MySQL. По данным
DroneBL, уже сейчас в ботнет-
сети насчитывается более 100 тысяч активных зараженных устройств, используемых для похищения частной информации
и проведения крупномасштабных
DDoS-атак. Особую опасность, по мнению первооткрывателей, представляет то, что
большинство домашних пользователей, скорее всего, не смогут заметить присутствия червя
«psyb0t» в своей сети.
Подробное описание ботнета и червя
«psyb0t» можно найти в блоге
DroneBL.
По материалам zdnet.com и theregister.co.uk.