Roteadores são principal alvo em IoT no Brasil

iot_tred_micro.jpg07/05/2018 - Trend Micro alerta: roteadores da fabricante MikroTik são usados como parte de uma botnet para difusão de ataque entre aparelhos conectados

Com a crescente conectividade e avanço da Internet das Coisas, casos envolvendo dispositivos comprometidos têm se tornado cada vez mais comuns. O alvo desses ataques consecutivos tem se repetido nos últimos meses: roteadores.

Desde antes do termo IoT existir, os roteadores já estavam, na maior parte do tempo, expostos publicamente na Internet. Todo o tráfego externo de rede é intermediado por estes aparelhos, que suportam inúmeros serviços, tais como o Protocolo de Configuração Dinâmica de Host (DHCP), filtragem de conteúdo, firewall, VoIP (Voice over Internet Protocol) e Sistema de Nomes de Domínios (DNS) – servidores que armazenam listas de domínios da Internet, para todos os dispositivos conectados, incluindo computadores, smartphones e câmeras IP.

Dentro do contexto de IoT, o roteador talvez seja o dispositivo mais importante para toda a infraestrutura: toda a informação proveniente da Internet passa por ele. Se um hacker compromete o roteador, todos os dispositivos conectados a ele podem ser afetados. É exatamente isso que a Trend Micro descobriu sobre a atuação de um grupo de hackers no Brasil.

O malware em questão

Em março deste ano, Fernando Mercês – pesquisador Sênior da Trend Micro – conseguiu por meio de um contato -  a amostra de um malware na forma de um script projetado para ser executado no RouterOS. Este sistema operacional é desenvolvido pela MikroTik, fabricante de roteadores para uso doméstico e profissional.

Neste caso, o passo a passo do malware é o seguinte: primeiramente é feita uma requisição HTTP GET para um servidor de C&C (comando e controle) através do link hxxp://smilelikeyoumeanit2018[.]com[.]br/contact-server/. Em seguida, o indivíduo é notificado de que é uma nova vítima que acaba de ser comprometida (já que a requisição GET revela o IP de origem). Ele faz isso usando um comando interno do RouterOS.

A Trend Micro acredita que o grupo de hackers também utilizou os dispositivos infectados para infectar outros similares na mesma rede e também aqueles na Internet. Isto é possível quando um payload  malicioso é utilizado a partir de um roteador já infectado, mas a Trend Micro não conseguiu rastreá-la a tempo. O domínio foi rapidamente congelado, então não se pode afirmar com certeza qual era o suposto payload malicioso.

Transformando a vítima em um proxy

O servidor C&C também recebia solicitações GET no caminho /index.php?modulo=get. Como resposta, o C&C enviava um IP de um dispositivo MikroTik que provavelmente infectado, seguido da porta TCP 20183 a ser usada como um servidor proxy. A Trend Micro observou roteadores no Brasil e no Japão seguindo este mesmo comportamento.

Um ponto interessante é que a porta TCP 20183 não é utilizada por padrão nos roteadores MikroTik, mas a maioria dos dispositivos infectados tinha um proxy ativo aberto nesta porta. Assim, a Trend Micro acredita que além de infectar as configurações DNS, esta campanha também pretende usar os dispositivos como proxies para outros ataques. Na verdade, foi descoberta uma lista de proxies que continha a maioria dos endereços de IP que a Trend Micro observou estarem infectados.

Deixar seu comentário

0
termos e condições.
  • Nenhum comentário encontrado

newsletter buton