12 mar 2011

Detectan ataques de malware a routers en Linux

Varios investigadores han localizado una clase de malware poco común, que ataca especialmente a dispositivos de red que funcionan tanto en sistemas operativos Linux como Unix.

El malware deposita un archivo en formato ELF en el ordenador infectado, y lleva a cabo un ataque de fuerza bruta sobre el nombre y la contraseña del router del usuario.

El objetivo del malware es abrir una puerta trasera IRC en los equipos infectados, algo que ya ha podido comprobar la empresa de seguridad informática Trend Micro.

Para ello, la compañía de antivirus probó el malware en routers de la marca taiwanesa, D-Link, una de las líderes en el mercado de componentes de red, y pudo verificar el éxito de los ataques.

Por el momento, el malware, que ha sido bautizado como ELF-Tsunami-R, solo ha aparecido en Latinoamérica según ha explicado Trend Micro, que también ha declarado que a pesar de que los casos detectados todavía sean reducidos, el peligro que supone para los ordenadores es elevado.

Fuente: The Inquierer

Suscríbete a nuestro Boletín

4 comentarios:

  1. una de las razones que saque a theinquirer.es de mi rss es por lo amarillistas que son. ejemplo tenemos el ultimo comentario que da un poco mas de luz al tema.

    @jose

    Hay muy poca información.

    Seguí el enlace hasta la página de Trend Micro y realmente dan muy pocos detalles.

    Hay algunos puntos a considerar:

    1. Es un malware. Este debe ser ejecutado directamente (o indirectamente por otra aplicación ejecutada directamente). Dado que la noticia habla sobre infecciones en routers, primero que nada se tendría que poder acceder a una cuenta de usuario para que fuera ejecutado, y ser lanzado directamente. Es verdad que se pueden usar huecos de seguridad en los servicios que corre el router para lograr ejecutar el malware, pero no se menciona nada en la nota original.

    2. Utiliza ataque de fuerza bruta contra par usuario-contraseña. En cualquier sistema GNU/Linux actual, las contraseñas cifradas (en realidad solo se almacena el MD5 digest) se almacenan en el archivo /etc/shadow que solamente el usuario root puede leer y modificar. Si el malware no se ejecuta como root no puede tener acceso al par usuario-contraseña; si se ejecuta como root, no tiene necesidad de realizar el ataque, O_O???

    Como dije, falta información.

    Pero eso sí, ponen una solución fácil:
    ¡¡Usa sus productos para desinfectar!! (¬¬ que casualidad)

    ResponderBorrar
  2. Sea o no amarillista la nota el código malicioso existe, se aprovecha de vulnerabilidades de algunos modelos de routers D-Link y puede ejecutarse e infectar el dispositivo después de un ataque de fuerza bruta, que sería factible de ser exitoso gracias a resetear a valores de fábrica el dispositivo, dejandolo comprometido.

    Y los trucos para hacer que se ejecute ese malware son los mismos con que los atacantes logran que los usuarios se infecten cada día: correos con enlaces maliciosos y página web comprometidas con kits de explotación de vulnerabilidades.

    La novedad es que existe un código real y que está suelto por allí para aprovecharse de la debilidad de un router, cosa que no es muy común, pero de afectar al dispositivo, quizás sea un acceso a un equipo ajeno más sostenible en el tiempo para los atacantes que las pc troyanizadas.

    ResponderBorrar
  3. Totalmente de acuerdo con lo que menciona Cristian en el punto 1. Al momento no encontré nada que indique claramente los medios de infección, la técnica que utiliza, cómo llega al router o por qué medios se expande en la red. Y menos que menos en la página de Trend Micro.

    En cuanto al punto 2, sólo comentar que se puede saber si el par usuario-contraseña es válido o no sin tener acceso de lectura al /etc/shadow.

    Sin embargo el punto importante es la paranoia que genera una nota que tiene por propósito sacar provecho de la información de la que carece, utilizando los bien conocidos (y muy bien fundados) preconceptos que enmarcan a sistemas Windows en su pobre lucha contra el malware y afines.

    Información y buenas prácticas para todos!

    Saludos,
    Sebastián

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!