Alfonso Maruccia

Psyb0t, la minaccia per i router

Una nuova genýa di malware abusa dei dispositivi di rete di ogni sorta, risparmiando i PC. I danni sono per˛ ugualmente ingenti: password rubate, botnet pronte a rispondere ai comandi dei malintenzionati

Roma - Dopo Bluepill e i malware che si comportano come ipervisori facendo girare interi sistemi operativi dentro una macchina virtuale, rootkit da Master Boot Record e parassiti di BIOS, il minimo che ci si può attendere è che sia in circolazione un agente patogeno in grado di abusare dei dispositivi di rete. E infatti c'è, si chiama psyb0t ed è stato recentemente osservato "allo stato brado" attraverso i danni provocati dalla botnet di cui ha preso il controllo.

I ricercatori sostengono che psyb0t sia il primo worm a essere progettato per infettare router e modem (A)DSL, lasciando intatti i PC connessi, ma utilizzando i dispositivi di rete come un vero e proprio "bot" con cui agire per condurre attacchi DDoS e sfruttare tecniche di deep packet inspection per la raccolta di password e credenziali d'accesso.

Il worm infetta i dispositivi basati su piattaforma MIPS in modalità little-endian con le porte telnet, SSH e HTTP accessibili dalla WAN e, soprattutto, che abbiano una combinazione di password e nome utente di scarsa complessità o peggio ancora di default. Secondo DroneBL, l'organizzazione che ha recentemente notato gli effetti nefasti del worm in azione, la principale causa della diffusione dell'infezione (stimata già a quota 100mila router "zombificati") è proprio l'utente e la sua tendenza a non cambiare le password standard del dispositivo appena uscito dalla scatola.
Come nel caso dei malware "invisibili" che infettano l'MBR dell'hard disk, la pericolosità del nuovo verme cresce in maniera esponenziale se si considera che è difficile, per l'utente finale, riuscire a capire se il router che possiede è infetto oppure se è a rischio di infezione. Il segno distintivo dell'avvenuta infezione è il blocco delle porte 80, 22 e 23, attraverso cui passano i servizi sopraindicati.

Oltre alla raccolta indebita di dati sensibili in rete, psyb0t è in grado di analizzare i server basati su phpMyAdmin e MySQL alla ricerca di vulnerabilità da sfruttare. Unica nota positiva riguardante questa nuova, pericolosa minaccia alla sicurezza informatica è il fatto che la sua rimozione non è poi così complicata, basta infatti fare un "hard reset" del dispositivo infetto, cambiare le password di amministrazione e aggiornare il firmware all'ultima versione.

Alfonso Maruccia
84 Commenti alla Notizia Psyb0t, la minaccia per i router
Ordina
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 10 discussioni)