Обнаружен новый ботнет из незащищенных маршрутизаторов с прошивкой на базе Linux

Чешские исследователи в области безопасности компьютерных систем сообщили ⁰ об обнаружении нового сетевого червя, получившего наименование "Чак Норрис" и состоящего из незащищенных надлежащим образом мини-маршрутизаторов, DSL-модемов и спутниковых TV-ресиверов, работающих на базе прошивок, основанных на Linux. Как начало заражение маршрутизаторов происходит из-за выставления администратором ненадежного пароля, подбираемого через несложного перебора типовых вариантов, или сохранения пароля, заданного по умолчанию. Также инфекция может выходить сквозь эксплуатацию обнаруженной в январе уязвимости в маршрутизаторах D-Link.

Анализ вредоносного кода, загружаемого после проникновения на маршрутизатор, показал, что подобные маршрутизаторы объединены в единичный ботнет и поддерживают действие команд по участию в совершении DDoS-атак или проведению атак по подбору паролей. На устройствах входящих в ботнет может изготавливаться замена связанных с DNS настроек, что позволяет перенаправлять требования пользователей к таким популярным ресурсам, как Facebook или Google, на поддельные сайты злоумышленников, на которых может быть устроено внедрение вирусов, перехват паролей и конфиденциальной информации. Имя "Чак Норрис" было присвоено ботнету из-за наличия в одном из вредоносных файлов комментария на итальянском языке "in nome di Chuck Norris" ("во имя Чака Норриса").

По своей сути новый сетевой червь очень напоминает усовершенствованный вариант ботнета Psybot, который был зафиксирован весной прошлого года. Как и Psybot червь "Чак Норрис" поражает устройства на базе архитектуры MIPS, снабженные прошивками, основанными на Linux (Psybot поддерживал прошивки на базе проектов OpenWRT и DD-WRT).