Un ver se constitue un botnet de routeurs équipés Linux

Le par  |  15 commentaire(s)
D-Link routeur wifi DIR-615

Des chercheurs en sécurité informatique ont mis au jour une grande première avec un ver informatique qui détourne des routeurs domestiques et des modems DSL afin de construire un botnet.

D-Link routeur wifi DIR-615Lorsque l'on parle botnet, on pense généralement à un réseau d'ordinateurs Windows infectés par un malware et dont l'utilisation est détournée à l'insu du propriétaire pour qu'un cybercriminel se livre à des actions répréhensibles du type spam ou attaque par déni de service distribué à l'encontre d'un site d'une société. On pense par contre beaucoup moins à un réseau de routeurs et de modems DSL corrompus, et pour cause ce botnet serait le premier du genre découvert par des chercheurs de DroneBL.


Pas que les machines Windows alors...
Ce spécimen de botnet est l'œuvre du travail accompli par le ver informatique dénommé psyb0t et aurait compté jusqu'à près de 100 000 membres. Selon DroneBL, le botnet a déjà été utilisé pour mener des attaques DDoS et le malware aurait notamment la capacité d'effectuer de l'inspection applicative (deep packet inspection) afin de récupérer des identifiants et mots de passe.

Le nuisible qui ne s'intéresse pas aux PCs ou aux serveurs a jeté son dévolu sur des routeurs matériels et des modems à architecture Mipsel et utilisant un système embarqué Linux. D'après DroneBL, est vulnérable tout dispositif de routage Linux Mipsel qui a son interface d'administration ou sshd ou telnet dans une zone démilitarisée (DMZ) et avec un mot de passe peu robuste.

Les symptômes de l'infection sont le blocage des ports 22, 23 et 80. Le cas échéant, il suffit pour supprimer le malware d'effectuer un hard reset, de modifier les mots de passe administrateur et de mettre à jour avec le dernier firmware disponible.

Si le botnet a apparemment été fermé, DroneBL commente :

" Cette technique est extrêmement préoccupante parce que la majorité des utilisateurs ne saura pas que leur réseau a été corrompu, ou que leur routeur est exploité. Cela signifie qu'à l'avenir, cela pourrait être un vecteur d'attaque pour le vol d'informations d'identification personnelles. Cette technique ne va pas disparaître. "

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #432041
dans la citation : changer "ne sera pas" par "ne saura pas"
Le #432061
Si j'ai bien compris le ver cherche le mot de passe pour se connecter à la machine (dictionnaire + brute force).
C'est certain, c'est nouveau.
Le #432071
Je n'ai jamais rencontré de cas de routeur ou firmware dont les ports 22,23,80 sont accessibles depuis l'interface WAN, meme avec l'ip de la route du LAN en DMZ. Il faut préalablement contaminer une machine de la zone LAN.

Le créateur du ver (qui n'est pas un rootkit) va peut-être faire prendre conscience de aberration du couple admin/admin de réglages d'usine pour prendre le contrôle d'un routeur.

En ce qui concerne l'utilisation de telnet et http, ça fait juste 200 ans qu'on les déconseille pour l'administration. Ca fait plus de 5 ans que les routeurs domestiques ont la capacité de gérer du chiffrage de type TLS/SSL !
Le #432091
Principe de base : ne pas faire confiance à l'opérateur et à ses box.
db
Le #432101
"est vulnérable tout dispositif de routage Linux Mipsel qui a son interface d'administration ou sshd ou telnet dans une zone démilitarisée (DMZ) et avec un mot de passe peu robuste."

C'est sûr qu'à partir du moment où le mot de passe est fragile, il faut s'attendre à se faire pirater son système, quel que soit l'OS. C'est plus une faille humaine que logicielle (quoique, si le mot de passe par défaut était nu peu robuste, on aurait surement moins de problèmes).
Le #432121
je n'aurais pas l'outrecuidance de citer hadopi sur ce post.

Ah ben mince c'est fait. Encore une preuve que la sécurisation des moyens de communication est une chose délicate.
Le #432151
faut dire que les mots de passe genre livebox de base, c'est assez comique :

login (inventel) : admin, pass: admin
login (sagem) : admin, pass : password...

C'est la première chose que j'ai fait ici quand j'ai reçu ma box, changer le mot de passe, et aussi changer le cryptage wi-fi (wep de base... yeah) ainsi que la clef... de même pour le code PIN bluetooth, 1111 de base, c'est du foutage de gueule...

C'est Mamie Lucette qui va en prendre plein la tronche avec hadopi et des mots de passe pareils...
Le #432181
Linux est inviolable pourtant.

Si, si, c'est les utilisateurs qui le disent.<img src="/img/emo/cool.gif" alt="8:" />
Le #432201
@alucardx77

aucun système n'est inviolable, surtout avec des logins/mots de pass administrateur/root bateaux, et des services inutiles et/ou mal sécurisés accessibles en dehors du réseau local: ex, SSH avec un login, genre, mmmh, admin, et un pass genre, mmmh, password... on ne parlera pas de telnet, dont on se demande encore pourquoi on s'en sert pour administrer une box à distance...
C'est donc un problème d'interface chaise/clavier plus qu'un problème inhérent à linux. Sauf que l'interface chaise/clavier, ici, c'est le FAI qui file des boxes avec des logins/mots de passe bidons, pas mémé jeannine...
Anonyme
Le #432241
alucardx77

comme on te l'a fait remarquer... il ne s'agit pas d'un manque de securité linux mais un mauvais choix de config (qui n'est pas digne des principes "linux") causé par les FAI...

tu crois que sous windows ca aurait été mieux?
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]