Psyb0t, la minaccia per i router

Una nuova genìa di malware abusa dei dispositivi di rete di ogni sorta, risparmiando i PC. I danni sono però ugualmente ingenti: password rubate, botnet pronte a rispondere ai comandi dei malintenzionati
Una nuova genìa di malware abusa dei dispositivi di rete di ogni sorta, risparmiando i PC. I danni sono però ugualmente ingenti: password rubate, botnet pronte a rispondere ai comandi dei malintenzionati

Dopo Bluepill e i malware che si comportano come ipervisori facendo girare interi sistemi operativi dentro una macchina virtuale, rootkit da Master Boot Record e parassiti di BIOS , il minimo che ci si può attendere è che sia in circolazione un agente patogeno in grado di abusare dei dispositivi di rete . E infatti c’è, si chiama psyb0t ed è stato recentemente osservato “allo stato brado” attraverso i danni provocati dalla botnet di cui ha preso il controllo.

I ricercatori sostengono che psyb0t sia il primo worm a essere progettato per infettare router e modem (A)DSL, lasciando intatti i PC connessi, ma utilizzando i dispositivi di rete come un vero e proprio “bot” con cui agire per condurre attacchi DDoS e sfruttare tecniche di deep packet inspection per la raccolta di password e credenziali d’accesso.

Il worm infetta i dispositivi basati su piattaforma MIPS in modalità little-endian con le porte telnet, SSH e HTTP accessibili dalla WAN e, soprattutto, che abbiano una combinazione di password e nome utente di scarsa complessità o peggio ancora di default. Secondo DroneBL, l’organizzazione che ha recentemente notato gli effetti nefasti del worm in azione, la principale causa della diffusione dell’infezione (stimata già a quota 100mila router “zombificati”) è proprio l’utente e la sua tendenza a non cambiare le password standard del dispositivo appena uscito dalla scatola .

Come nel caso dei malware “invisibili” che infettano l’MBR dell’hard disk, la pericolosità del nuovo verme cresce in maniera esponenziale se si considera che è difficile, per l’utente finale, riuscire a capire se il router che possiede è infetto oppure se è a rischio di infezione. Il segno distintivo dell’avvenuta infezione è il blocco delle porte 80, 22 e 23 , attraverso cui passano i servizi sopraindicati.

Oltre alla raccolta indebita di dati sensibili in rete, psyb0t è in grado di analizzare i server basati su phpMyAdmin e MySQL alla ricerca di vulnerabilità da sfruttare. Unica nota positiva riguardante questa nuova, pericolosa minaccia alla sicurezza informatica è il fatto che la sua rimozione non è poi così complicata , basta infatti fare un “hard reset” del dispositivo infetto, cambiare le password di amministrazione e aggiornare il firmware all’ultima versione.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

25 03 2009
Link copiato negli appunti