Специалисты интернет-проекта DroneBL, созданного с целью обнаружения IP-адресов, с которых осуществляются сетевые атаки, сообщили о массовом заражении домашних маршрутизаторов и кабельных/DSL модемов червяком под названием psyb0t (также известный как Network Bluepill). Как отмечается, psyb0t это не только первый ботнет-червь, заражающий сетевое оборудование, а не персональные компьютеры, но и также первая «зараза» такого рода, нацеленная на операционную среду семейства Linux.

Первый случай заражения новым червем был зафиксирован ещё в начале текущего года в Австралии на ADSL/ADSL+ роутере Netcomm NB5. Автор этого сообщения, Терри Бом уже тогда высказал предположение, что под влиянием spyb0t могут находиться и другие подобные маршрутизаторы в Италии, Бразилии, Эквадоре, России, Украине, Турции, Перу, Малайзии, Индии и Египте. За это время червяк получил несколько модификаций, нацеленных на разные сетевые устройства, включая около 30 моделей от Linksys, 10 от Netgear, и ещё около пятнадцати других кабельных и DSL-модемов. По некоторым оценкам, на сегодняшний день уже заражено около 100 тыс. модемов и роутеров, которые работают на базе MIPS-процессоров под управлением Linux Mipsel (версия Debian для MIPS-чипов).

На самом деле, несмотря на масштабы заражения, вирус не так страшен, как может показаться, если соблюдать элементарные правила компьютерной безопасности. spyb0t не сможет ничего сделать без знания пароля доступа к роутеру, поэтому при использовании «сильного» пароля проникнуть в систему он не сможет. Но так как многие пользователи предпочитают придумывать простые пароли, то даже небольшой базы из шести тысяч имён и тринадцати тысяч паролей стало достаточно для взлома десятков тысяч устройств. Кроме того, роутер, подверженный атаке, должен иметь включенным удаленный доступ к управлению им через ssh, telnet или web-интерфейс. Ликвидировать червя довольно легко - достаточно перезагрузить устройство и установить новый пароль. Также рекомендуется "прошить" последнюю версию прошивки.

Заражение маршрутизаторов вместо компьютеров даёт определённые плюсы злоумышленникам. Ведь эти устройства во многих случаях могут оставаться включенными двадцать четыре часа в сутки, что даёт атакующим самые широкие возможности. Особая опасность такого рода заразы ещё и в том, что она может длительное время оставаться незамеченной домашними пользователями.

Обозреватель интернет-журнала eWEEK Лари Сельцер (Larry Seltzer) считает, что psyb0t это далеко не последний ботнет-червь, нацеленный на сетевые устройства под управлением Linux. Так что вполне возможно, что уже скоро мы станем свидетелями новых эпидемий. Надеемся, разработчики сетевых устройств не оставят без внимания эту проблему и постараются повысить уровень защиты своих продуктов, а пользователям рекомендуем не забывать хотя бы о простейших превентивных мерах.

Детальная техническая информация о ботнет-черве spyb0t содержится здесь.