Psybot: Das Router-Botnet

Der Schädling Psybot brachte ein ungewöhnliches Botnetz unter seine Kontrolle: Rund 100.000 Router sollen mit Hilfe der Software ferngesteuert worden sein.

Botnets aus infizierten Heimcomputern sind mittlerweile unerfreulicher Alltag im Internet. Einen anderen Weg gingen jedoch die Autoren des Schädlings Psybot: Sie infizierten kurzerhand zahlreiche Router mit ihrer Software und nutzten diese als Botnet. Zu diesem Schluss kommt zumindest der Betreiber der Web-Site DroneBL, der nach eigenen Aussagen Ziel von DDoS-Angriffen des betreffenden Netzes wurde.

Die Idee als solche ist nicht neu und wurde auf Hackertreffen immer wieder diskutiert. Es dürfte sich jedoch um den ersten dokumentierten Fall handeln, in dem ein solches Botnet tatsächlich in freier Wildbahn aktiv wurde.

Ziel waren Router, auf denen eine bestimmte Form von Embedded Linux für MIPS-CPUs läuft. Angegriffen wurden die Router über Schwächen in der Konfiguration - so sind viele Router aus dem Internet erreichbar, teilweise sogar ohne Passwort oder mit dem vom Hersteller eingestellten Standard-Passwort. War der Schädling einmal im System, lud er eine Binary-Datei mit dem eigentlichen Schadcode herunter und führte diese aus. Psybot konnte dann auch nach Systemen mit speziellen verwundbaren Versionen von phpMyAdmin und MySQL suchen, um diese zu kapern.

Mittlerweile ist Psybot angeblich inaktiv: Der Betreiber gibt an, seine Aktivitäten eingestellt zu haben. Natürlich ist dies schwer zu überprüfen - eines jedoch steht fest: Bei der Verfolgung ihrer destruktiven Absichten werden Cyberkriminelle immer kreativer. So sollte in jedem Fall auch bei der Konfiguration des eigenen Routers auf sicherheitsbewusstes Verhalten geachtet werden. (Annika Kremer)

(via heise, thx!)

News Redaktion am Montag, 23.03.2009 15:41 Uhr

tags Tags: it-sicherheit linux psybot botnet trojaner router

Weitere interessante News

4 Reaktionen zu dieser Nachricht

Shodan_v2-3 am 23.03.2009 19:27:31

Also zur Fritzbox: Der Telnet Server der Box ist a) nur vom internen Netz zu erreichen b) idR abgeschaltet, wenn man ihn nicht angeschaltet hat, um an der Box herumzubasteln Wenn du uPNP abgeschaltet hast, ein Kennwort für die Oberfläche vergeben und die aktuelle Firmware installiert hast, bist d ...
Odgen am 23.03.2009 18:09:01

Oder besser noch: Kann mir mit einer Fritz!box was passieren? Ja, wenn die Programmierer der Firmware dumm genug sind, Dienste wie ssh (ohne Passwort und ungefragt) zu starten. Kontrollieren kann man sowas schlecht. ...
amigaman am 23.03.2009 16:54:19

Wie auf deiner verlinkten Netcomm-Seite steht, ist das Teil vor allem in Australien verbreitet, und auf dem Prinzipbild ist eine Firewall zwischen Router und Internet abgebildet, die mit Sicherheit keine 5 Leute mit so einem Router eingesetzt haben. Mich würde auch viel mehr interessieren, welche ...
c64er am 23.03.2009 16:46:21

Hi, ich habe die Meldung heute Mittag auf HEISE auch schon gelesen. Angeblich läd der Bot eine Datei namens "udhcpc.env" nach /var/tmp und startete sie. Laut einer ...
gullinews am 23.03.2009 15:34:03

Der Schädling Psybot brachte ein ungewöhnliches Botnetz unter seine Kontrolle: Rund 100.000 Router sollen mit Hilfe der Software ferngesteuert worden sein. Botnets aus infizierten Heimcomputern sind mittlerweile unerfreulicher Alltag im Internet. Einen anderen Weg gingen jedoch die Autoren ...

weitere Kommentare lesen Nachricht kommentieren

News [Kurioses]

Apple filterte den Begriff "Jailbreak" im iTunes Store

Lars Sobiraj am 20.05.2012, 16:54 Uhr

Im US-amerikanischen iTunes Store wurden statt dem Begriff "Jailbreak" lediglich Sternchen zwischen dem Anfangs- und Endbuchstaben angezeigt. Davon waren letztlich alle Kategorien betroffen. So wurden neben Apps auch Klingeltöne, Podcasts, Musikstücke, ganze Alben und eBooks zensiert angezeigt. Laut den Untersuchungen von Shoutpedia waren mehrere Monate lang 95% aller Begriffe davon betroffen.

mehr mehr lesen...