Tietoturva nyt!

23.2.2010

Chuck Norris iskee kotiverkon laitteisiin

Kotikäyttäjien laitteita on kaapattu reitittimiin ja ADSL-modeemeihin tarttuvan Chuck Norris -haittaohjelman avulla botnetin orjakoneiksi.

Chuck Norris -haittaohjelma tarttuu MIPS-pohjaisiin, Linux-käyttöjärjestelmää käyttäviin verkon aktiivilaitteisiin. Tällaisia laitteita ovat monet kotiverkon laitteet, kuten ADSL-modeemit ja kotireitittimet. Myös Kaiten-nimellä tunnetun haittaohjelman on todettu hyökkäävän myös verkkoon liitettyihin satelliitti-TV-vastaanottimiin.

Haittaohjelma leviää sellaisiin laitteisiin, joissa on internetiin avoin www-hallintakäyttöliittymä ja käytössä joko oletussalasana tai muuten helposti arvattava ylläpitotunnuksen salasana. CERT-FI:n tämänhetkisten tietojen mukaan ohjelma käyttää hyväksi heikkojen salasanojen lisäksi D-Linkin laitteissa olevaa haavoittuvuutta.

Haittaohjelman saastuttamia koneita voidaan käyttää hyväksi muihin koneisiin kohdistuvissa palvelunestohyökkäyksissä. Botnetin osaksi kaapatut laitteet voidaan myös valjastaa arvaamaan verkkoon kytkettyjen laitteiden salasanoja. Haittaohjelma estää lisäksi pääsyn kaapatun laitteen hallintakäyttöliittymään.

Reitittimien lisäksi myös kotiverkon tietokoneet tähtäimessä

Haittaohjelma muuttaa laitteen nimipalveluasetuksia niin, että kotiverkossa olevien tietokoneiden käyttäjät ohjataan haitallista sisältöä tarjoaville www-sivuille ja tällä tavoin pyritään tartuttamaan botnet-haittaohjelma myös verkon Windows-työasemiin.

Käytetty Windows-haittaohjelma on CERT-FI:n tietojen mukaan Enzymebot-variantti, jonka F-Securen tunniste on Backdoor:W32/IRCBot.GVN. Osa antivirustuotteista tunnistaa ja osaa poistaa haittaohjelman tällä hetkellä, osa on vielä lisäämässä tunnisteita sille.

Verkkoliikenne komentopalvelimille paljastaa haittaohjelmat

Haittaohjelman aiheuttama verkkoliikenne voidaan tunnistaa sen käyttämien hallintapalvelinten osoitteiden ja ohjelman käyttämien kohdeporttien avulla. Verkkolaitteisiin tarttunut Chuck Norris ottaa yhteyttä komentopalvelimiinsa seuraavissa osoitteissa:

• 87.98.173.190, portti 12000/TCP
• 87.98.163.86, portti 12000/TCP

Windows-käyttöjärjestelmään iskenyt haittaohjelma liikennöi osoitteeseen

• 87.98.173.190, portti 4003/TCP

Poistamiseen verkkolaitteista riittää virran katkaisu

Chuck Norris ei talleta itseään laitteiden pysyvään flash-muistiin, joten haittaohjelman voi poistaa katkaisemalla laitteesta virran. Uudelleenkäynnistyksen jälkeen tulisi sen ylläpitosalasana muuttaa riittävän vaikeasti arvattavaksi. Pääsy internetistä hallintakäyttöliittymään kannattaa ottaa pois käytöstä jos sitä ei välttämättä tarvita.

Hauskan nimensä haittaohjelma on saanut sen lähdekoodissa olevasta viittauksesta kuuluisaan elokuvanäyttelijään.

Lisätietoa

• http://www.computerworld.com.au/article/336938/chuck_norris_botnet_karate-chops_routers_hard/?eid=-6787
• http://www.darkreading.com/security/attacks/showArticle.jhtml?articleid=223000208&cid=RSSfeed
• http://www.networkworld.com/news/2010/022010-chuck-norris-botnet-karate-chops-routers.html
• http://www.theregister.co.uk/2010/02/23/chuck_norris_botnet_doesnt_sleep/
• http://www.digitoday.fi/tietoturva/2010/02/22/vaihda-reitittimen-salasana-tai-chuck-norris-iskee/20102674/66
  

Sivua päivitetty 23.02.2010

Tulostusversio