Конец марта в этом году ознаменовался двумя важными
новостями – во-первых, найден способ помещения вредоносного кода в память BIOS,
а во-вторых, обнаружено массовое заражение домашних маршрутизаторов червем под
названием «psyb0t», который превращает роутер в компонент ботнет-сети.
Заражение микросхемы BIOS в компьютере до сих пор считалось
чем-то из области фантастики. Именно BIOS (Basic Input/Output System) отвечает
за сохранение конфигурации системы в неизменном виде, а также за исполнение
базовых функций ввода и вывода информации. Тем не менее, два аргентинских специалиста,
Альфредо Ортега (Alfredo Ortega) и Анибал Сакко (Anibal Sacco)
из компании Core Security Technologies
показали на конференции по информационной безопасности CanSecWest успешное
введение в BIOS специальной программы для удаленного управления, или руткита
(rootkit). В частности, им удалось на глазах зрителей заразить компьютеры с
операционными системами Windows и OpenBSD, а также виртуальную машину OpenBSD
на платформе VMware Player.
Хотя для заражения BIOS по методу Ортеги и Сакко необходимо
заранее скомпрометировать машину или иметь физический доступ к машине,
последствия такого заражения оказались просто ужасными – даже после полного
стирания информации на жестком диске, перепрошивки BIOS и переустановки
операционной системы при следующей перезагрузке машина вновь оказывается
заражена. Подробнее об атаке на BIOS можно прочитать в блоге
ThreatPost.
Еще одну серьезную опасность обнаружили администраторы сайта
DroneBL, который занимается мониторингом
IP-адресов, служащих источником различных сетевых атак. Примерно две недели
назад на сайт была совершена DDoS-атака (Distributed Denial of Service – распределенная
атака на отказ в обслуживании). При расследовании инцидента выяснилось, что
атаку производили зараженные роутеры и DSL-модемы. Дальнейший анализ показал,
что в Интернете появилась первая ботнет-сеть, которая базируется не на ПК и
серверах, а на сетевом оборудовании домашнего уровня. Эта вредоносная сеть
вместе с червем, распространяющим заразу, получила название «psyb0t».
Механизм заражения «psyb0t» оказался довольно необычным.
Заражению подвержены любые устройства с маршрутизацией пакетов на базе
операционной системы Linux Mipsel, снабженные административным интерфейсом,
либо открывающие доступ через службы sshd или telnetd для защищенной зоны DMZ,
если у них заданы слабые сочетания имени пользователя и пароля (включая
устройства openwrt/dd-wrt). Червь «psyb0t» использует специальный алгоритм
подбора имен пользователя и паролей, а также несколько стратегий для перехвата
управления устройством.
После заражения червь «psyb0t» встраивает фрагмент
вредоносного кода в операционную систему устройства – в состав червя входят
варианты кода для нескольких версий системы Mipsel, они загружаются с
центрального сервера злоумышленников. Затем червь закрывает конечному
пользователю доступ к устройству по telnet, sshd и через веб-интерфейс, а сам
начинает исследовать все проходящие через устройство пакеты, выуживая из них
различные имена и пароли. Также червь пересылает своим владельцам информацию о
наличии в локальной сети серверов с уязвимыми конфигурациями службы phpMyAdmin и
СУБД MySQL. По данным DroneBL, уже сейчас в ботнет-сети насчитывается более 100
тысяч активных зараженных устройств, используемых для похищения частной
информации и проведения крупномасштабных DDoS-атак. Особую опасность, по мнению
первооткрывателей, представляет то, что большинство домашних пользователей,
скорее всего, не смогут заметить присутствия червя «psyb0t» в своей сети.
Подробное описание ботнета и червя «psyb0t» можно найти в блоге DroneBL.
По материалам zdnet.com и theregister.co.uk.
|
