Echipa de la DroneBL, un proiect ce monitorizeaza abuzurile pe internet si mentine la zi o lista cu adrese periculoase, a anuntat descoperirea unui vierme ce afecteaza routerele si modemurile DSL ce ruleaza distributia mipsel Debian. Botnet-ul creat de acest vierme este controlat prin IRC si, conform cu mesajul lasat de creator a infectat 80000 de clienti.
DroneBL s-au lovit de acest nou tip de amenintare dupa ce chiar infrastructura lor a fost sub atac.
Dupa spusele lor au primit un flood de tip HTTP de la IP-urile asociate botnet-ului.
La o investigatie mai amanuntita, au gasit elementul responsabil de infectia echipamentelor folosind procesoare MIPS si ruland versiunea mipsel a Debian.
Acest tip de amenintare poate afecta un numar mare de echipamente dar trebuie indeplinit un anumit criteriu pentru ca un echipament sa fie compromis. Aici intra si accesul din exterio prin router la telnet, SSH sau interfata web. Se mai adauga si o parola slaba si neinstalarea ultimului firmware.
90% din routerele si modemurile ce fac parte din botnet sunt in starea asta din cauza unei setari voite facute de user sau alta cauza.
Viermele foloseste multiple cai de exploatare, incluzand bruteforce la combinatiile user si parola, scanare dupa servere vulnerabile phpMyAdmin si MySQL.
Atacatorul controleaza botnetul printr-un canal IRC9Internet Relay Chat) unde dronele se conecteaza si asteapta comenzile. Autorul viermelui are niste cunostinte sofisticate de programare.
Un semn de infectie este blocarea porturilor 22 (ssh), 23 (telnet) si 80 (http).
