Un ver se constitue un botnet de routeurs équipés Linux
Des chercheurs en sécurité informatique ont mis au jour une grande première avec un ver informatique qui détourne des routeurs domestiques et des modems DSL afin de construire un botnet.
Lorsque l'on parle botnet, on pense généralement à un réseau d'ordinateurs Windows infectés par un malware et dont l'utilisation est détournée à l'insu du propriétaire pour qu'un cybercriminel se livre à des actions répréhensibles du type spam ou attaque par déni de service distribué à l'encontre d'un site d'une société. On pense par contre beaucoup moins à un réseau de routeurs et de modems DSL corrompus, et pour cause ce botnet serait le premier du genre découvert par des chercheurs de DroneBL.
Pas que les machines Windows alors...
Ce spécimen de botnet est l'œuvre du travail accompli par le ver informatique dénommé psyb0t et aurait compté jusqu'à près de 100 000 membres. Selon DroneBL, le botnet a déjà été utilisé pour mener des attaques DDoS et le malware aurait notamment la capacité d'effectuer de l'inspection applicative (deep packet inspection) afin de récupérer des identifiants et mots de passe.
Le nuisible qui ne s'intéresse pas aux PCs ou aux serveurs a jeté son dévolu sur des routeurs matériels et des modems à architecture Mipsel et utilisant un système embarqué Linux. D'après DroneBL, est vulnérable tout dispositif de routage Linux Mipsel qui a son interface d'administration ou sshd ou telnet dans une zone démilitarisée (DMZ) et avec un mot de passe peu robuste.
Les symptômes de l'infection sont le blocage des ports 22, 23 et 80. Le cas échéant, il suffit pour supprimer le malware d'effectuer un hard reset, de modifier les mots de passe administrateur et de mettre à jour avec le dernier firmware disponible.
Si le botnet a apparemment été fermé, DroneBL commente :
" Cette technique est extrêmement préoccupante parce que la majorité des utilisateurs ne saura pas que leur réseau a été corrompu, ou que leur routeur est exploité. Cela signifie qu'à l'avenir, cela pourrait être un vecteur d'attaque pour le vol d'informations d'identification personnelles. Cette technique ne va pas disparaître. "
-
Un nouveau botnet vient d'être découvert par des experts en sécurité. Baptisé Chameleon, il aurait infecté plus de 120 000 ordinateurs et généré un détournement de plus de 6,2 millions de dollars par mois. -
Les chercheurs en sécurité de G Data ont mis au jour un botnet qui a recours au réseau d'anonymisation Tor afin de dissimuler son trafic de commande et contrôle.
Vos commentaires Page 1 / 2
C'est certain, c'est nouveau.
Le créateur du ver (qui n'est pas un rootkit) va peut-être faire prendre conscience de aberration du couple admin/admin de réglages d'usine pour prendre le contrôle d'un routeur.
En ce qui concerne l'utilisation de telnet et http, ça fait juste 200 ans qu'on les déconseille pour l'administration. Ca fait plus de 5 ans que les routeurs domestiques ont la capacité de gérer du chiffrage de type TLS/SSL !
db
C'est sûr qu'à partir du moment où le mot de passe est fragile, il faut s'attendre à se faire pirater son système, quel que soit l'OS. C'est plus une faille humaine que logicielle (quoique, si le mot de passe par défaut était nu peu robuste, on aurait surement moins de problèmes).
Ah ben mince c'est fait. Encore une preuve que la sécurisation des moyens de communication est une chose délicate.
login (inventel) : admin, pass: admin
login (sagem) : admin, pass : password...
C'est la première chose que j'ai fait ici quand j'ai reçu ma box, changer le mot de passe, et aussi changer le cryptage wi-fi (wep de base... yeah) ainsi que la clef... de même pour le code PIN bluetooth, 1111 de base, c'est du foutage de gueule...
C'est Mamie Lucette qui va en prendre plein la tronche avec hadopi et des mots de passe pareils...
Si, si, c'est les utilisateurs qui le disent.<img src="/img/emo/cool.gif" alt="8:" />
aucun système n'est inviolable, surtout avec des logins/mots de pass administrateur/root bateaux, et des services inutiles et/ou mal sécurisés accessibles en dehors du réseau local: ex, SSH avec un login, genre, mmmh, admin, et un pass genre, mmmh, password... on ne parlera pas de telnet, dont on se demande encore pourquoi on s'en sert pour administrer une box à distance...
C'est donc un problème d'interface chaise/clavier plus qu'un problème inhérent à linux. Sauf que l'interface chaise/clavier, ici, c'est le FAI qui file des boxes avec des logins/mots de passe bidons, pas mémé jeannine...