Una nueva botnet psyb0t es la primera de la que se tiene constancia que es capaz de infectar directamente routers y módems.
Se sospecha que la botnet se originó en Australia, ya que la primera actividad de la red se detectó allí. El consultor australiano Terry Baume observó por primera vez un router Netcomm NB5 infectado. Pueden leer su análisis completo aquí.
El código binario del gusano se analizó por los miembro del sitio web DroneBL (utilizando un tracker IP en tiempo real que busca botnets y máquinas vulnerables), y llegaron a la conclusión de que psyb0t o Red Bluepill es principalmente una prueba de concepto. Tras su descubrimiento, el operador de la botnet la desconectó rápidamente.
La primera generación del gusano estaba dirigido a un número concreto de routers, aunque la actual versión, la más reciente generación descubierta (apodada en el código como versión 18″) se dirige a una amplia gama de dispositivos. El software malicioso está preparado para infectar más de 30 diferentes modelos de Linksys, 10 modelos de Netgear, y una gran variedad de módems.
Además, el gusano contiene una lista de 6000 nombres de usuario y 1300 contraseñas en su código, que utiliza para realizar un ataque de fuerza bruta para conseguir el acceso por Telnet y SSH. En general los routers no bloquean a un usuario después de una serie de intentos fallidos por contraseña incorrecta, haciendo posible dichos ataques por fuerza bruta.
Según DroneBL, cualquier router que utilice un procesador MIPS y ejecute el sistema operativo Linux mipsel (un simple sistema embebido para procesadores MIPS) es vulnerable si tiene la interfaz de administración del router, sshd/telnetd en un DMZ y utilizan un usuario/contraseña débil. DroneBL indica también que los dispositivos con el firmware open source openwrt y dd-wrt también puede ser vulnerables, además de otros routers que ejecutan el sistema operativo VxWorks.
La explotación de cualquier dispositivo de red es más útil que infectar directamente a los equipos porque la gran mayoría están funcionando las 24 horas del día, a diferencia de los PCs. El ataque a un router además permite la exploración de toda una red sin ser detectados, ya que no se aprecia ningún cambio en el ordenador, excepto quizás una reducción de la velocidad de la conexión.
El personal de DroneBL señaló que el gusano es muy difícil de detectar, y la única forma conocida sería monitorizar el trafico de red dentro y fuera del router. Según DroneBL la botnet es capaz de escanear instalaciones vulnerables de PHPMyAdmin y MySQL. También es capaz de deshabilitar el acceso a las interfaces de control de un router.
El autor del botnet, chateando anónimamente en un canal de IRC, afirmó haber tenido infectados 80.000 routers a la vez. APC está hablando con los fabricantes de routers para evaluar que modelos son los vulnerables y que deben hacer los usuarios para protegerse de este tipo de ataques.
También publicado en Historias De Queso
Si quieres firmar tus comentarios, regístrate o inicia sesión »
En este espacio aparecerán los comentarios a los que hagas referencia. Por ejemplo, si escribes "comentario nº 3" en la caja de la izquierda, podrás ver el contenido de ese comentario aquí. Así te aseguras de que tu referencia es la correcta. No se permite código HTML en los comentarios.
Soitu.es se despide 22 meses después de iniciar su andadura en la Red. Con tristeza pero con mucha gratitud a todos vosotros.
Fuimos a EEUU a probar su tren. Aquí están las conclusiones. Mal, mal...
Algunos países ven esta práctica más cerca del soborno.
A la 'excelencia general' entre los medios grandes en lengua no inglesa.
Caminante no hay camino, se hace camino al andar. Citar este verso de Machado no puede ser más ocurrente al hablar de Mariano Rajoy. Tras la renuncia de Zapatero y las voces que señalan que la estrategia popular podría verse dañada, es necesario preguntarse algo. ¿Ha hecho camino Rajoy? ¿Se ha preparado para ser presidente? Quizás la respuesta sorprenda.
En: E-Campany@
Recomendación: Albert Medrán
“Algunos luchamos por tener los pies en suelo.” Lo decía ayer en su Twitter Raül Romeva, uno de los cuatro eurodiputados españoles (Oriol Junqueras, de ERC, Ramon Tremosa, de CiU, Rosa Estarás del PP y él, de ICV) que apoyaron la enmienda para evitar que el presupuesto comunitario de 2012 contemple los vuelos en primera clase de los parlamentarios europeos. No era una excepción. Lo escribía ahí porque es lo que hace siempre: ser transparente.
En: E-Campany@
Recomendación: Albert Medrán
Son los cien primeros, como podrían ser doscientos o diez. Lo importante es el concepto. La idea de tener unos días para llevar a cabo la transición desde la oposición al gobierno. Del banquillo, a llevar el dorsal titular. Nunca tendremos una segunda oportunidad de crear una buena primera impresión. Y los cien primeros días son esa primera impresión. Veamos su importancia.
En: E-Campany@
Recomendación: Albert Medrán
“Os propongo que sea el Comité Federal, en la próxima reunión que tengamos, después de las elecciones autonómicas y municipales, el que fije el momento de activar el proceso de primarias previsto en los Estatutos del partido para elegir nuestra candidatura a las próximas elecciones generales.” De esta manera, Zapatero ha puesto las primarias en el punto de mira tras anunciar que no será candidato a la reelección. Tras este anuncio, observamos algunas reflexiones sobre el proceso
En: E-Campany@
Recomendación: Albert Medrán
Lo sentimos, no puedes comentar esta noticia si no eres un usuario registrado y has iniciado sesión.
Si quieres, puedes registrarte o, si ya lo estás, iniciar sesión ahora.