Nieuws
image

IRC-backdoor infecteert Linux routers

vrijdag 11 maart 2011, 11:56 door Redactie, 8 reacties

Onderzoekers hebben een backdoor ontdekt die Linux routers infecteert en onderdeel van een botnet maakt. De malware is volgens Trend Micro vooral in Latijns-Amerika actief en is in staat om brute-force aanvallen op routers uit te voeren, om zo toegang te krijgen. Heeft de malware toegang, dan wordt er verbinding met een IRC-server gemaakt en kan het aanvullende opdrachten ontvangen en uitvoeren. Het onderzoek naar de malware is nog bezig, maar waarschijnlijk wordt de IRC-backdoor door andere malware geïnstalleerd. Het zou dan om drive-by downloads gaan.

Voor zover bekend werkt de aanval tegen D-LINK routers, maar lopen mogelijk ook routers van andere fabrikanten risico. ELF_TSUNAMI.R, zoals de malware heet, wordt niet massaal aangetroffen, de schade die het kan aanrichten is wel groot.

Het komt niet vaak voor dat aanvallers zich op de hardware van eindgebruikers richten. Drie jaar geleden plunderden criminelen bankrekeningen via een lek in DSL modems van een Mexicaanse internetprovider.

Reacties (8)
11-03-2011, 12:49 door Anoniem
http://www.juniper.net/security/auto/vulnerabilities/vuln13679.html

Lijkt op firmwares uit 2004
11-03-2011, 13:51 door Syzygy
Netjes overgenomen maar ook hier missen we weer het totaal plaatje en dat maakt dit soort meldingen compleet waardeloos.

Ik probeer het even te recapituleren:

De Malware doet dus een BF attack op Routers die op een "specifiek" Linux OS draaien.
Als de BF aanval succesvol is wordt er een IRC backdoor gecreëerd en een verbinding opgezet naar een externe IRC Server.
Vervolgens ontvangt de Malware opdrachten van de IRC server

Echter welke systemen (OS-en/Applicaties ) zijn vatbaar voor deze Malware (waar deze dus op draait om connectie te maken met die Router)

Onderzoekers hebben een backdoor ontdekt die Linux routers infecteert en onderdeel van een botnet maak

Dit is dus fout want de Router wordt eigenlijk eerst geïnfecteerd (opzetten backdoor via BF attack ) danpas wordt de bron via de backdoor geinfecteerd !!!.

Zo lees ik het.
Met dit soort meldingen mis je altijd de gang van zaken en hoed de besmetting PRECIES gaat zodat je er eigenlijk niks aan hebt want je weet nog niet waar je op moet letten.
11-03-2011, 16:09 door WhizzMan
De backdoor zit niet in IRC, dus de benaming is nogal verwarrend. "Linux-backdoor maakt installatie van een IRC-bot mogelijk" is een stuk minder ambigu.
11-03-2011, 16:49 door Syzygy
Door WhizzMan: De backdoor zit niet in IRC, dus de benaming is nogal verwarrend. "Linux-backdoor maakt installatie van een IRC-bot mogelijk" is een stuk minder ambigu.

Nee natuurlijk niet, het is een IRC backdoor of te wel een Backdoor ten behoeve van een IRC connenctie.
Maar wel op een Linux platform.

Maar het verhaal is wel onduidelijk en vooral ook niet volledig. (zoals de meeste verhalen hier, vandaar ook die oeverloze discussie zoals wij die nu hebben hahahahaha)

Gek, word ik ervan
11-03-2011, 16:52 door Anoniem
Al maanden bekend in de ondergrond, jeweet =)
11-03-2011, 18:52 door Anoniem
Jammer dat er niet bij staat inderdaad wat nu precies kwetsbaar is, en evt wat kwetsbaren er tegen kunnen doen... Dat soort info hoop ik nu net op security.nl aan te treffen :-)...
12-03-2011, 22:44 door Anoniem
Yep en nu is het ook bovengronds bekend. Goed hé =)
14-03-2011, 11:48 door SirDice
Door Anoniem: Jammer dat er niet bij staat inderdaad wat nu precies kwetsbaar is, en evt wat kwetsbaren er tegen kunnen doen... Dat soort info hoop ik nu net op security.nl aan te treffen :-)...
De malware is volgens Trend Micro vooral in Latijns-Amerika actief en is in staat om brute-force aanvallen op routers uit te voeren, om zo toegang te krijgen.
M.a.w. makkelijk te raden gebruikersnamen en dito wachtwoorden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search