Зомби-сеть нападает на модемы DSL

Специалистами DroneBL, выявлен беспрецедентный Зомби-сеть, атакующий исключительно маршрутизаторы и модемы DSL на базе Linux/MIPS и игнорирующий персональные компьютеры. Эксперты предупреждают, что прежде считавшиеся надежными операционными системы сегодня уже таковыми не являются.

Учёные из DroneBL заявили, что во время устранения направленной на их сервис DDoS -атаки обнаружили нетипичный Зомби-сеть. Его изучение показало, что известный на инфицированные персональные компьютеры сетевой червь под названием psyb0t захватывает маршрутизаторы и модемы DSL, не причиняя ущербы самими компьютерам. Угрозе уязвимы маршрутизаторы на базе Linux/MIPS.

Первые атаки сетевого червя были зарегистрированы еще в декабре прошлого года, но тогда он действовал более выборочно. Речь шла только об ADSL-модемах Netcomm NB5 и аналогичных аппаратах, а для захвата управления над ними сетевой червь применял значения логина и пароля по умолчанию. Уязвимость в этом оборудовании, которую применял psyb0t, в более поздних версиях прошивки устройств уже устранена.

Эксперты DroneBL пришли к выводу, что нынешняя версия сетевого червя более совершенна. Теперь он взламывает маршрутизаторы, подбирая пары логинов и паролей по списку. Более того, если раньше «зомбированные» маршрутизаторы не использовались координирующим центром для конкретных целей, то теперь с их помощью была инициирована DDoS атака (отказ в обслуживании).

После того, как описание сетевого червя появилось в блоге DroneBL, обнаружил себя и создатель вредоносной программы. Автор psyb0t написал, что создал сетевого червя «с исследовательскими целями и теперь прекращает дальнейшую работу над ним». Также он уверяет, что сумел захватить порядка 80 тыс. устройств, но никогда не применял этот Зомби-сеть для DDoS-атак, fishing'а (фишинг) или кражи конфиденциальных данных.

Эксперты DroneBL призывают пользователей не верить в «раскаяние» злоумышленника и срочно принять меры по лечению инфицированных роутеров. Для этого устройство следует сбросить к установкам по умолчанию, установить на него последнюю версию прошивки и защитить каким-нибудь устойчивым к подбору паролем.

Как прокомментировал прецедент технический директор ESET Григорий Васильев, интернет-сообщество уже имеет опыт столкновения с вредоносными программами, заражающими не сами персональные компьютеры, а сопутствующие устройства. Примером может служить программа PostScript Trojan, атакующая принтеры компании Apple, рассказал он.

«Однако если раньше это были единичные случаи подобных заражений, то сегодня с помощью сетевого червя psyb0t был создан довольно расширенный Зомби-сеть. С одной стороны, это говорит о том, что вирусописатели постоянно совершенствуют свои технологии, позволяющие получить контроль не только над персональным компьютером пользователя, но и над сетевыми устройствами. С другой стороны, данный пример подтверждает прогноз аналитиков об увеличении в 2009 г. вредоносного Программного Обеспечения для платформ, которые традиционно считались надежными, в частности Linux/MIPS», - рассказал Васильев.

По его словам, так как для заражения psyb0t применяет технологию перебора логина и пароля, пользователям не следует использовать слишком простые пароли на устройствах, соединенных к ПК.