Popularność małych urządzeń zwanych routerami ;], które instalujemy coraz częściej w domach w celu podziału pasma internetowego lub instalacji bezprzewodowego dostępu do sieci stała się w końcu ich przekleństwem. Od dłuższego czasu zastanawiałem się kiedy ktoś pokusi się o napisanie na przykład takiej wersji oprogramowania dla takiego routera (firmware), która posiadała by możliwość zdalnego sterowania routerem. Okazało się, że ktoś wymyślił trochę łatwiejsze rozwiązanie i obrał sobie za cel routery oparte o systemy Linuksowe z architekturą procesora MIPS (najpopularniejsza architektura przy tego typu urządzeniach).
Do zdobywania routerów wykorzystał fakt, że wielu użytkowników nieświadomie pozostawia uruchomiony dostęp do zdalnego zarządzania z sieci internet, a także posiada proste hasła do panelu administracyjnego (poprzez telnet, ssh lub stronę WWW). Jako dodatek robak oprócz poszukiwań nowych podatnych routerów poszukuje podatnych aplikacji (phpMyAdmin, MySQL) w celu zdobycia następnych przyczułków. Botnet został nazwany psyb0t i jest jednym z pierwszych, które wykorzystują masowo routery domowe.
O błędach w routerach domowych było już głośno w różnych wersjach i choćby badanie, które zrobiłem w lutym 2007 roku po publikacji na temat specjalnego hasła dostępowego umożliwiającego zdalną administrację routerami dostawcy BeThere, wykazało, że w ciągu jednej nocy ponad z 16 tysięcy przetestowanych adresów IP, można było uzyskać pełną kontrolę nad ponad 14 tysiącami routerów.
Wracając do sprawy botnetu psyb0t warto nadmienić także, że nie atakuje on komputerów użytkowników ani serwerów, jest skoncentrowany wyłącznie na routerach wbudowanych. Ponadto zawiera szereg shellcodów dla różnych urządzeń mipsowych, podsłuchuje sieć w poszukiwaniu loginów i haseł.
Botnet do kontroli wykorzystuje serwer IRC, a w zasadzie wykorzystywał gdyż wszystko wskazuje na to, że był to swoisty eksperyment i na tę chwilę botnet został wyłączony. Ostatni temat kanału komunikacyjnego wyłączał boty i oznajmiał, że badanie było bardzo interesujące, udało się zgromadzić ponad 80 000 routerów i autor nie miał nic wspólnego z atakami DDoS na serwis DroneBL, którego autorzy twierdzą jednak coś innego. Zeznają w swoim blogu, iż stali się ofiarami ataku w ich serwery WWW z adresów IP wykorzystywanych przez ten botnet. Co ciekawe na szybko licząc udało im się zliczyć około 100 000 maszyn. Albo ktoś inny przejął pałeczkę albo ktoś się przestraszył i ustawił zapobiegawczo taki temat kanału albo po prostu badacze się pomylili, albo, albo, albo :] Jeśli ktoś posiada informacje z kulis tego wydarzenia to mam nadzieję, że się nimi z nami podzieli… Jest coraz zabawniej i weselej :]
* Topic for #mipsel is: .silent on .killall .exit ._exit_ .Research is over:
for those interested i reached 80K. That was fun :), time to get back to the real life… (To the DroneBL guys: I never DDOSed/Phished anybody or peeked on anybody’s private data for that matter)
* Topic for #mipsel set by DRS at Sun Mar 22 17:02:15 2009
7 komentarzy do
30 marca, 2009 o godzinie 11:50
lol, to następne w kolejności są DDoSy w wykonaniu lodówek z modułem uzupełniania zapasów przez Internet {:
30 marca, 2009 o godzinie 14:58
Oj… to trzeba będzie co jakiś czas reinstalować firmwarka na routerze :)
Jak widać wspaniała społeczność botnetowa zaprasza wszelkimi możliwymi sposobami do przynależności.
Muszę też sprawdzić, czy w moim kontakcie jest internet… bo tak to lodówka, pralka, kuchenka, magnetowid, radiobudzik, odtwarzacz CD… wszystko narażone ;)
Pozdrawiam radośnie,
Orest
31 marca, 2009 o godzinie 17:11
Orest: wstaniesz kiedyś rano, oberwiesz drzwiami od lodówki, porazi Cię prąd z kontaktu, nie zapali się światło, i nie będziesz mógł otworzyć drzwi. A telefon pozwoli Ci zadzwonić tylko na stacjonarny do siebie do domu. Wtedy będziesz pewny, że to złe hakiery w Twoim domu i w ogrodzie ! :D
3 kwietnia, 2009 o godzinie 20:12
ZAdnej reinstalacji routerow
JEstescie zainteresowani tym problemem zmiencie defaultowe haslo i zaznaczcie, ze mozna sie zalogowac jedynie z sieci LAN 192.168.* wtedy jestescie secure ;)
Kazdy router po odlaczeniu zasila kasuje pliki, ktore byly na nim dopisane podczas poprzedniej pracy,
4 kwietnia, 2009 o godzinie 13:26
prawda, takie coś powinno załatwić sprawę. Ogólnie problem leży po stronie domyślnych ustawień na routerkach, które useroodporne nie są, a user jest z założenia niedostatecznie doinformowany. Chociaż klikałem ostatnio taki routerek, który domyślnie wpuszczał tylko od interfejsu lanowego, na wanie nie otwierał portu ani nie odpowiadał na ping. Żeby włączyć zarządzanie od strony Wanu trzeba się było przedrzeć przez opcje ze straszliwymi opisami ;-)
ale ogólnie test jest ciekawy… Niedługo chyba jednak zaatakują nas lodówki -> @Zią ;-)
6 kwietnia, 2009 o godzinie 17:26
Nie prawdą zupełnie jest, że każdy router po odłączeniu zasilania kasuje pliki, które były na nim dopisane podczas poprzedniej pracy :]
Fakt, że coraz więcej routerów posiada domyślnie wyłączone opcje zarządzania z WANu i to się chwali :]
7 stycznia, 2014 o godzinie 14:23
[…] Botnet psyb0t stworzony z małych routerów wbudowanych […]