A Chuck Norris nevű botnetet építő kártékony kód elsősorban az egyéni felhasználók számára készülő routereket vette célba, és azok révén próbálja elérni a célját.

Mivel a botnetek üzemeltetői folyamatosan megújuló, egyre trükkösebb módszereket vetnek be, ezért mindig akadnak érdekességek e hálózatok esetében. A legutóbbi ilyen estre Jan Vykopalm cseh egyetemi kutató hívta fel a világ figyelmét, aki arról számolt be, hogy a Chuck Norris névre keresztelt botnetben nem minden úgy történik, ahogy azt eddig megszokhattuk.

Jan Vykopalm szerint az általa elemzett kártékony hálózat esetében az elsődleges célpontot nem a számítógépek jelentik, hanem a nem megfelelően konfigurált DSL-modemek és az otthoni routerek. A botnetet építő kód ugyanis olyan hálózati eszközöket keres, amelyeken az alapértelmezett jelszó korábban nem került megváltoztatásra, vagy valamilyen biztonsági rést tartalmaznak. Amennyiben ráakad egy ilyen, sebezhető routerre, akkor megpróbálja betölteni a saját kódját a rendelkezésre álló memóriába, majd elkezdi a számára kijelölt műveletek végrehajtását. Mindezt azonban csak akkor tudja megtenni, ha egy olyan, MIPS-alapú eszközt talál, amelyen Linux fut. Amennyiben minden feltétel adott a működéséhez, akkor esetenként szolgáltatásmegtagadási támadásokat kezdeményez, feltérképezi a hálózatokat vagy éppen megváltoztatja a DNS-beállításokat. Ezzel a fertőzött routerhez csatlakozó felhasználókat kártékony weboldalakra “vezetheti”. Például amikor az internetező meg akarja tekinteni a Facebook, a Google, stb. weboldalakat, akkor a módosított DNS-konfiguráció miatt ártalmas kódokat tartalmazó weblap töltődhet be. Nyilvánvalóan mindezt az adathalászok is ki tudják használni, akik meghamisított banki weblapokra irányíthatják át a böngészőket.

A Chuck Norris botnet nem az első ilyen jellegű kártékony hálózat. Korábban már működött egy Psyb0t nevű botnet, amely szintén az egyszerűbb routereket szemelte ki magának. Noha az új hálózat pontos mérete nem ismert, Jan Vykopal szerint annyi bizonyos, hogy Észak-Amerikától, Európán át Ázsiáig bezárólag mindenhol kimutatható a jelenléte. Vagyis minden bizonnyal komolyabb kiterjedésű, mint a Psyb0t.

A legnagyobb kihívást a Chuck Norris botnethez tartozó kártékony kód jelenlétének felismerése jelenti, ugyanis az eltávolítása már egyszerű. Ehhez nincs másra szükség, mint újraindítani a fertőzött készüléket. Mivel a kód nem kerül bele a firmware-be, ezért egy újraindítást követően csak a hűlt helye marad.

A hálózati eszközöket, különösen a routereket megfertőző kódok ellen számos egyszerű védelmi megoldás áll rendelkezésre. Ezek közül a legfontosabb a készülékekhez tartozó alapértelmezett jelszavak megváltoztatása, a firmware szükség szerinti frissítése, valamint a hálózati eszközök Internet felöli menedzselhetőségének letiltása.

Forrás:
Biztonságportál