Psyb0t, infección en ¡routers!, ¡módems! y ¡Linux!
marzo 26, 2009 10:00 amLos signos de admiración en el título no son un error de gramática, sino que refieren al ideario común respecto al malware: ¿puede infectarse un router? ¿puede infectarse un módem? ¿puede infectarse un GNU/Linux?
La respuesta a todas estas preguntas es sí, y esto ha quedado demostrado con un nuevo gusano que se ha propagado recientemente y ha estado realizando, entre otras cosas, ataques de denegación de servicio.
Este gusano del tipo botnet, ha sido descubierto por la empresa DroneBL, analizando un ataque de denegación de servicio que recibieron hace unas semanas. Finalmente, detectaron que este procedía de una botnet, que ha sido denominada psyb0t (el troyano es detectado por ESET NOD32 como Linux/PsyBot.A) y que se estima que cuenta con más de 100.000 dispositivos infectados con una particularidad: estos no son computadoras de escritorio o servidores sino routers y modems ADSL con sistema operativo Linux. Esta es la primera vez que se observa un ataque exitoso utilizando la infección en este tipo de dispositivos.
¿Por qué es útil esta técnica a los atacantes? Son varias las razones para crear malware de este tipo. En primer término, porque el número de posibles víctimas es elevado, estando en aumento constante. Además, porque su detección y desinfección son extremadamente complicadas: pocos usuarios poseen medidas de control y seguridad en sus routers de conexión a Internet. Por último, la utilización de los equipos que forman una red botnet está limitada, obviamente, a aquellos equipos que estén encendidos. En este caso, los routers suelen estar prendidos, a diferencia de una computadora, las 24 horas del día, todos los días de la semana.
En el caso particular de psyb0t, el gusano se propaga a través de los servicios ssh, telnet y http (puertos 22,23 y 80 respectivamente), realizando ataques de explotación o de fuerza bruta ante contraseñas débiles en los usuarios administradores de los dispositivos. Una vez que se accede al equipo, se descarga el archivo malicioso y se ejecutan reglas de firewall para cerrar el acceso de administración al dispositivo. Desde ese momento, la botnet puede ser controlada remotamente a través de comandos IRC. Hasta el momento, se ha detectado su uso para ataques de denegación de servicio y robo de contraseñas (monitoreando el tráfico en el equipo), aunque la botnet puede ser utilizada, a futuro, para nuevos fines.
Tampoco deberían descartarse nuevas variantes del gusano que afecten otros sistemas Linux, incluso servidores.
Por el momento, se recomienda mantener todos los dispositivos protegidos por contraseñas fuertes para evitar la infección, y mantener abiertos solo los puertos administrativos que sean necesarios.
Aunque este es el primer caso, estamos hablando de un ataque que será tendencia, dadas las ventajas que presentan para los atacantes y creadores de malware.
Sebastián
Promedio: 4.33
21-4-2010 a las 11:35 am
[...] probable que otro tipo de amenazas puedan propagarse por el sistema operativo. Tal fue el caso de Psyb0t, un gusano del tipo bot que infectaba modems y routers en sistemas Linux. En el caso del día de [...]
24-2-2010 a las 3:13 pm
[...] que el botnet llamado Psyb0t, Chuck Norris puede infectar a un dispositivo basado en MIPS con el sistema operativo Linux, si su [...]
24-2-2010 a las 11:32 am
[...] que el botnet llamado Psyb0t, Chuck Norris puede infectar a un dispositivo basado en MIPS con el sistema operativo Linux, si su [...]
24-2-2010 a las 12:57 am
[...] que el botnet llamado Psyb0t, Chuck Norris puede infectar a un dispositivo basado en MIPS con el sistema operativo Linux, si su [...]
31-3-2009 a las 10:32 am
[...] Vía: Blogs.eset [...]
29-3-2009 a las 2:49 pm
[...] Más Información: DroneBL Psyb0t Attacks Linux Routers Psyb0t, infección en ¡routers!, ¡módems! y ¡Linux! Posted in Noticias | Leave a [...]
29-3-2009 a las 3:42 am
[...] Mas Información: DroneBL Psyb0t Attacks Linux Routers Psyb0t, infección en ¡routers!, ¡módems! y ¡Linux! Comparte este [...]
27-3-2009 a las 3:33 pm
Hola Darío Lopez:
A través del blog pretendemos mantener informados y educados a los usuarios respecto a los principales amenazas. Consideramos que el gusano psyb0t tenía características que sería útiles para los usuarios, respecto a las tendencias en el desarrollo de malware.
Plagiar noticias no es nuestra característica y lo sabrás si lees el blog, que diariamente entrega noticias respecto a la seguridad antivirus. A veces somos los primeros (o los únicos) y a veces hay temáticas que son tratadas por muchos medios y eso se debe, justamente, a la importancia del tema. No podemos asumir que todos nuestros lectores leen hispasec, ni ningún otro medio (particularmente respecto a psyb0t, el sitio que tu citas tampoco fue el primero en investigar el tema).
Sebastián
27-3-2009 a las 3:10 pm
Hola, muy bueno pero tengan en cuenta que esta información salió en el Hispasec de ayer, a veces es mejor conseguir información propia antes de plagiar la de otros.
Saludos;
Darío