Malware infecta 100 mil roteadores e modems na Argentina

Um ataque de grandes proporções contra dispositivos da Internet das Coisas foi identificado na Argentina, infectando mais de 100 mil aparelhos, principalmente modems e roteadores, em apenas 60 horas. De acordo com especialistas, o golpe parece ter sido direcionado a uma das operadoras do país, que pode ter entregue equipamentos pouco seguros para seus clientes.

Trata-se de uma variante do Mirai, um malware bastante poderoso que, desde o ano passado, quando teve seu código fonte divulgado na internet, é utilizado para a realização de ataques em massa desse tipo. Desta vez, a praga foi recondicionada para utilizar supersenhas, acessando dispositivos e obtendo acesso root mesmo que eles estejam protegidos com credenciais normais.

A esmagadora maioria dos modems e roteadores atingidos é da marca ZyXEL Communications. A supersenha era utilizada como uma forma de suplantar as proteções tradicionais configuradas pelos usuários ou operadores de rede, a partir de um usuário de administração que possui todos os privilégios de acesso ao dispositivo. Foi assim que, a partir do dia 22 de novembro, mais de 100 mil aparelhos foram contaminados.

A fabricante também opera no Brasil, o que significa que os aparelhos com tais vulnerabilidades também podem estar operando por aqui. Entretanto, de acordo com as informações dos especialistas que analisaram a praga, o golpe é direcionado aos usuários argentinos, com pouquíssimas instâncias de aparelhos infectados em outras regiões entre as centenas de milhares registradas.

Como funciona o Mirai

O grande ideal por trás do Mirai é a criação de um exército de computadores zumbis, utilizados para ataques de negação de serviço. São golpes que não causam o vazamento de dados, mas geram prejuízo, principalmente, financeiro ao tirar serviços do ar, com seus servidores sucumbindo sob o alto volume de acessos sucessivos gerados pelas máquinas infectadas.

No caso desta praga, especificamente, estamos falando da responsável por um dos maiores golpes DDoS já registrados na indústria da tecnologia. Em setembro do ano passado, um volume estimado em 620 Gbits de tráfego foi usado para minar o acesso ao Twitter nos Estados Unidos e derrubar temporariamente a PlayStation Network, rede online do PS4, o repositório de desenvolvimento GitHub e o site de segurança da informação Krebs on Security, responsável, inclusive, pela descoberta e revelação do Mirai.

Felizmente, no recente ataque que atingiu a Argentina, especialistas em proteção digital foram capazes de assumir o comando dos domínios utilizados pelos hackers para distribuir o malware, o que encerrou sua propagação. Os dispositivos comprometidos permaneceram assim, mas, sem o comando original, não podem mais ser utilizados para a realização de ataques.

O que não significa, entretanto, que mais golpes desse tipo não vão acontecer – e eles podem já estar, inclusive, em andamento. Mais uma vez, o foco de atenção é a vulnerabilidade de modems, roteadores e aparelhos da Internet das Coisas, normalmente negligenciados pelas operadoras de internet e também pelos próprios usuários, que os mantêm desprotegidos ou usando senhas padronizadas, facilitando a realização de golpes dessa categoria.

Como o código fonte do Mirai está publicado livremente, qualquer indivíduo com algum conhecimento pode criar variações com alvos específicos ou infecções generalizadas. Entretanto, elas sempre vão depender de um controle central para serem ativadas, e é justamente na tomada de tais recursos que se encontra a maior frente de combate contra ameaças dessa categoria.

Direto de Resposta

A ZyXEL Communications do Brasil entrou em contato com o Canaltech para esclarecer que está à disposição para fornecer informações necessárias, já que alega que não há dados suficientes que comprovem que a maioria dos equipamentos afetados pelo malware Mirai sejam fabricados pela companhia.

A empresa "reafirma seu compromisso com a segurança e qualidade de seus equipamentos, que são fabricados com o uso dos mais altos padrões técnicos exigidos pelo mercado e pela regulação de cada país, motivo pelo qual são reconhecidos por sua excelência em mais de 150 países onde a marca está presente, através de mais de 100 milhões de equipamentos em atividade."

Fonte: Netlab, Ars Technica