No final do ano passado, quase um milhão de usuários da web ficaram sem conexão na Alemanha por conta de um ataque da botnet Mirai. E a ameaça, baseada na Internet das Coisas, volta ainda mais poderosa nesta temporada: seus operadores conseguiram recrutar silenciosamente uma armada de 100 mil novos roteadores, que podem ser usados para uma ofensiva a qualquer momento.
O malware consegue agir em ambientes bem protegidos e até com o gerenciamento remoto desligado
Desde que o código da Mirai veio a público, as variantes vem apresentando poucas modificações e falhas amadoras. Contudo, desta vez é diferente. Essa versão pode tirar vantagem de uma brecha de segurança de dois aparelhos da Huwaei, o EchoLife Home Gateway e o Huwaei Home Gateway, amplamente utilizados em residências e pequenos escritórios. E o pior é que o malware consegue agir mesmo em ambientes protegidos por senhas complexas e com a administração remota completamente desligada.
Para complicar ainda mais a situação, o software malicioso vem munido de 65 mil combinações de credenciais, que podem ser utilizadas para invadir diferentes tipos de gadgets. “Essa abordagem é muito sofisticada. O operador desconhecido possui um exército para uma varredura bastante significativa e agora ele está adicionando mais e mais vetores ao seu grupo da Internet das Coisas”, afirma Dale Drew, chefe de estratégia e segurança da provedora CenturyLink.
Monitoramento por enquanto é o maior plano de contenção
Essa nova versão do Mirai opera de forma mais incisiva porque, ao invés de abrir os roteadores configurando os administradores com senhas padrão, ela consegue infectar mais aparelhos a partir da execução de códigos remotos. Por enquanto, desde que essa variante foi detectada, há duas semanas, o operador vem somente ampliando seu exército, possivelmente para causar um estrago ainda maior quando realizar o ataque.
Vários operadores de botnets vêm tentando obter acesso a esses nódulos
Com essa armada, ele pode facilmente incapacitar o alvo com negação de serviço, seja por motivos pessoais ou para extorquir dinheiro de serviços na web. Até agora, os especialistas em segurança conseguiram recuperar dois nomes de domínio usados para controlar a botnet, mas Drew explicou que o invasor conseguiu reavê-los usando outros caminhos de comando e controle.
Drew vem tentando bloquear os roteadores afetados na comunicação com a provedora em que trabalha mas há várias outras redes que permitem à botnet agir livremente. Na sua opinião, não restam opções senão monitorar de perto e barrar possíveis novos canais contaminados. “A parte mais assustadora é que temos centenas de milhares — ou milhões — de operadores de botnets tentando desesperadamente obter acesso a esses nódulos. Quando encontramos um deles as informações são bloqueadas rapidamente.”
Fontes
Categorias