des box Internet et des routeurs infectés par le ver psyb0t

Un ver réseau appelé "psyb0t" infecte les "box Internet" et autres routeurs basés sur le système Linux. Son objectif est assez classique : Infecter le plus d'équipements afin de constituer un réseau de machines (botnet) le plus large possible, pour ensuite détourner des informations confidentielles, émettre du spam ou encore lancer des attaques en déni de service.

La méthode d'attaque est assez simple : Tout équipement directement accessible depuis Internet (via Telnet, SSH ou HTTP) pour lequel les mots de passe d'accès par défaut n'ont pas été changés et tournant sous Linux sur architecture matérielle MIPS est potentiellement infectable.

Ce ver réseau ayant été conçu pour s'attaquer à des équipements particuliers : Sont visés les routeurs ADSL, les bornes Wifi ou autres systèmes réseau s'appuyant sur la "technologie du Pingouin".



cibler ce type d'équipements est particulièrement habile de la part du ou des créateurs de ce ver réseau :


 

Ils restent allumés 24h/24

Comme ils sont en permanence actifs, la fenêtre d'exposition aux tentatives d'attaque est maximale ; une fois un équipement infecté, celui-ci est disponible de façon permanente. C'est très rarement le cas de machines classiques, notamment sur les réseaux personnels mais aussi dans les petites entreprises : La règle est d'éteindre sa machine afin de réduire la facture en électricité.

ils ne sont que très rarement redémarrés

Un équipement infecté ne sera donc pas "désinfecté" automatiquement suite à un redémarrage électrique ou l'appui sur le bouton de "reset". Pour des raisons de coût de fabrication, pour la majorité de ces équipements embarqués que sont les box Internet et bornes Wifi, tout se fait en mémoire vive (RAM) : Donc un reboot est fatal pour ce type de codes malicieux : Ils ne peuvent survivre à un rédémarrage.

leurs propriétaires ne s'y connectent que très rarement, sinon jamais

Qui se connecte tous les jours, ou même une fois par mois sur sa box Internet ou son routeur Wifi ? Personne. Donc comme vous ne tentez pas de vous y connecter, il y a que de très minces chances que vous constatiez que quelque chose vient de changer, ce qui pourrait vous mettre la puce à l'oreille...

ils sont sur un point de passage réseau privilégié

Ces équipements, de par leurs fonctions, sont à des carrefours stratégiques de votre réseau : Si il s'agit de la box Internet, alors tout le trafic entre l'Internet et votre réseau local est potentiellement écoutable ou modifiable. Si il s'agit d'une borne d'accès Wifi, c'est à minima tous les échanges entre machines s'y connectant qui est écoutable ou modifiable à souhait.

ils ont la capacité de modifier le fonctionnement du réseau de façon discrète et aisée

Outre la capacité d'écoute ou de modification des communications transitant via les équipements compromis, il leur est possible de rediriger le trafic pour des sites via manipulation des serveurs de résolution de noms (DNS) utilisés en local ou encore de se faire passer pour votre serveur DHCP et donc de modifier le routage en interne de votre réseau, pour rédiriger vers eux-même des communications à priori ne transitant pas via eux.

ils ont la capacité d'interargir directement avec l'ensemble des machines du réseau local

Pour compléter le tableau, comme ils sont en interne de votre réseau local, un équipement compromis peut tout à fait lancer des attaques vers des serveurs de base de données ou autres systèmes que vous pensiez protégés de l'Internet.


quelques recommandations pour se protéger ce type d'attaques

- Interdisez les accès en administration à vos équipements directement depuis Internet.
- Changez les mots de passe par défaut de vos équipements
- Upgradez le firmware (micro-logiciel) de votre équipement

pour savoir si vous êtes infectés par ce ver "psyb0t"

- Lors de l'infection, celui ferme les services d'administration via réseau. Donc si vous n'arrivez plus/pas à vous connecter en telnet, ssh ou HTTP à votre équipement, c'est que vous êtes peut-être infectés.

pour éradiquer ce ver "psyb0t"

- Un simple reboot de l'équipement suffit.
- Juste derrière, sécurisez-le (voir plus haut)

 

quelques liens pour ceux qui souhaiterait en savoir plus

- ZDNet, Zero Security Blog, Stealthy router-based botnet worm squirming, March 23, 2009
- DroneBL Blog, Network Bluepill - stealth router-based botnet has been DDoSing dronbl for the last couple of weeks
- Terry Baume, PSYB0T Information Page (PDF)
- ESET Blog, Psyb0t: varying the angle of attack, March 23, 2009
- MW-Blog, Botnet running on MIPS CPU devices, March 23, 2009
- SC Magazine, Worm turns Linux routers into botnet, March 25, 2009
- Clubic.com, Psyb0t : un premier ver pour routeurs sous Linux, Mercredi 25 Mars 2009



Retrouvez la même thématique "Sécurité des Réseaux" sur le Portail Orange Business

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens