Psyb0t, infección en ¡routers!, ¡módems! y ¡Linux!

Los signos de admiración en el título no son un error de gramática, sino que refieren al ideario común respecto al malware: ¿puede infectarse un router? ¿puede infectarse un módem? ¿puede infectarse un GNU/Linux?

La respuesta a todas estas preguntas es sí, y esto ha quedado demostrado con un nuevo gusano que se ha propagado recientemente y ha estado realizando, entre otras cosas, ataques de denegación de servicio.

Este gusano del tipo botnet, ha sido descubierto por la empresa DroneBL, analizando un ataque de denegación de servicio que recibieron hace unas semanas. Finalmente, detectaron que este procedía de una botnet, que ha sido denominada psyb0t (el troyano es detectado por ESET NOD32 como Linux/PsyBot.A) y que se estima que cuenta con más de 100.000 dispositivos infectados con una particularidad: estos no son computadoras de escritorio o servidores sino  routers y modems ADSL con sistema operativo Linux. Esta es la primera vez que se observa un ataque exitoso utilizando la infección en este tipo de dispositivos.

¿Por qué es útil esta técnica a los atacantes? Son varias las razones para crear malware de este tipo. En primer término, porque el número de posibles víctimas es elevado, estando en aumento constante. Además, porque su detección y desinfección son extremadamente complicadas: pocos usuarios poseen medidas de control y seguridad en sus routers de conexión a Internet. Por último, la utilización de los equipos que forman una red botnet está limitada, obviamente, a aquellos equipos que estén encendidos. En este caso, los routers suelen estar prendidos, a diferencia de una computadora, las 24 horas del día, todos los días de la semana.

En el caso particular de psyb0t, el gusano se propaga a través de los servicios ssh, telnet y http (puertos 22,23 y 80 respectivamente), realizando ataques de explotación o de fuerza bruta ante contraseñas débiles en los usuarios administradores de los dispositivos. Una vez que se accede al equipo, se descarga el archivo malicioso y se ejecutan reglas de firewall para cerrar el acceso de administración al dispositivo. Desde ese momento, la botnet puede ser controlada remotamente a través de comandos IRC. Hasta el momento, se ha detectado su uso para ataques de denegación de servicio y robo de contraseñas (monitoreando el tráfico en el equipo), aunque la botnet puede ser utilizada, a futuro, para nuevos fines.

Tampoco deberían descartarse nuevas variantes del gusano que afecten otros sistemas Linux, incluso servidores.

Por el momento, se recomienda mantener todos los dispositivos protegidos por contraseñas fuertes para evitar la infección, y mantener abiertos solo los puertos administrativos que sean necesarios.

Aunque este es el primer caso, estamos hablando de un ataque que será tendencia, dadas las ventajas que presentan para los atacantes y creadores de malware.

Sebastián