Nesse contexto, será mostrado de qual forma os cibercriminosos exploraram uma vulnerabilidade "under-the-radar", que afetou milhares de modems DSL desatualizados em todo o país. Isto permitiu que o ataque chegasse a dispositivos de rede pertencentes a milhões de usuários individuais e empresariais, espalhando malware e técnicas de redirecionamentos maliciosos ao longo de vários meses. O cenário foi alimentado pela negligência generalizada dos ISPs, erros de fabricantes de hardware, baixo nível de educação dos usuários, caracterizando-se como um autêntico cenário oficial de apatia.
Para quem acha que foi difícil contornar a situação que envolveu infecções relacionadas ao malware DNS Changer, é só tentar imaginar o que seria lidar com 4,5 milhões de modems comprometidos neste ataque.
Uma Vulnerabilidade no Firmware
De forma demasiada, os dispositivos de equipamentos de rede são esquecidos, pois uma vez que são instalados e configurados, a maioria dos usuários ou empresas não se preocupa mais em aplicar as devidas atualizações de firmware que são fornecidas pelos seus fabricantes. Mesmo falhas que venham a ocorrer nos dispositivos mais simples podem afetar milhares de usuários, que são silenciosamente atacados e induzidos a instalar malware de maneira inadvertida, isso quando não são encaminhados para domínios de phishing.
Conforme os apontamentos feitos pela pesquisadora Marta Janus, os modems DSL são atacados por diferentes tipos de malware, geralmente baseados em Linux, ou em ataques que exploram falhas de Cross-Site Request Forgery (CSRF), erros de configuração UPnP e SNMP ou até mesmo um complexo "sistema" de drive-by pharming. Surpreendentemente, esse cenário não é ignorado apenas por usuários de sistemas, mas também pela comunidade de segurança em si, que dispnesa pouquíssima atenção a esse tipo de situação. É bastante comum ver lembretes sobre a importância da instalação de patches de segurança para o sistema operacional, mas poucos falam da necessidade de atualizar o firmware do modem DSL.
Sem muito alarde, a vulnerabilidade acabou mostrando um problema em um modem específico que foi revelada em março de 2011. Essa falha permitiu o acesso remoto a um modem DSL, e ninguém sabe, exatamente, quando os cibercriminosos começaram a explorá-lo de forma remota. A falha permite que um ataque Cross-Site Request Forgery (CSRF), seja realizado no painel de administração do modem DSL, podendo capturar a senha definida no dispositivo e permitir que o invasor faça alterações, geralmente em servidores de DNS.
Publicação de exploit, datada de março do ano de 2011, a partir de exploit-db.com
Entretanto, mesmo que o utilizador tenha uma senha de alta relevância configurada no dispositivo, a falha permite que um atacante possa acessar o painel de controle, capturar a referida senha, acessar o dispositivo e fazer todas as alterações que bem entender.
Ao que tudo indica, esse problema não está relacionado com um determinado modelo ou fabricante, mas com o driver do chipset que executa as principais funções do equipamento e é comprado por fabricantes de modem que o utilizam em produtos de consumo. Todos os dispositivos afetados tem em comum, um chipset Broadcom, que é utilizado por muitos fabricantes, incluindo modems aprovados pela Agência Nacional de Telecomunicações do governo brasileiro, e são vendidos no Brasil.
De forma curiosa, nem todos os dispositivos que utilizam chips da Broadcom apresentam esse problema, mas não há dados precisos sobre quais as versões e equipamentos são afetados. Isto depende muito das informações prestadas pelos próprios fabricantes.
Scripts Maliciosos Envolvidos no Ataque
Por incrível que pareça, o ataque foi bastante simples. Os cibercriminosos fizeram uma varredura na Internet em busca de modems que estivessem expostos na rede; eles usaram dois bash scripts que foram executados em um servidor dedicado, comprado exclusivamente para essa finalidade maliciosa. Na sequência, uma gama de IPs foi definida para scanning e para testes através do script. Sendo assim, cada vez que modem foi encontrado, uma tentativa de explorar a falha foi realizada.
A imagem acima mostra o script utilizado nos ataques
Nesta imagem é exibido o bash script, que explora a vulnerabilidade Cross-Site Request Forgery e modifica as configurações de DNS
Compondo as palavras-chave definidas pelos cibercriminosos, podemos visualizar "dn5ch4ng3", "ch4ng3dn5" e outras variantes. Além disso, para que houvesse a automatização dos ataques, os atacantes determinaram uma ampla gama de IPs.
Fabricantes de Hardware Sofrem as Consequências do Ataque
Nesse cenário de ataques, houve registro de modems DSL de seis fabricantes que sofreram com as ações cibercriminosas, sendo cinco deles amplamente comercializados no Brasil e alguns deles estão entre os maiores modelos mais vendidos. Além de todo o transtorno já mencionado, a situação é ainda mais grave pelo fato de que, mesmo sem a vulnerabilidade, muitos modems são enviados com senhas padrão que são publicamente conhecidas e os usuários, muitas vezes, não conseguem alterar esses padrões.
Outros modems são criados quando os ISPs locais habilitam contas de acesso remoto, principalmente para a realização de suporte técnico. O grande problema é que essas credenciais são bastante conhecidas pelos cibercriminosos. Além disso, alguns fabricantes continuam atuando, de forma negligente, mesmo depois de serem alertados para estes problemas. Como todos sabem, a Anatel, Agência Nacional de Telecomunicações do Brasil, é o órgão do governo com autoridade para testar dispositivos de rede antes de serem aprovados para venda e uso pelos provedores locais.
No entanto, estes testes apenas verificam a funcionalidade do dispositivo e não fazem qualquer esforço extra para avaliar as medidas de segurança. Isso permite que os ISPs locais ofereçam, de preferência, modems DSL (tipicamente mais velhos, modelos mais baratos e com firmware vulneráve); vale lembrar que os ataques foram registrados em todos os grandes provedores de internet brasileiros. Em média, um grande provedor de acesso tem 3 ou 4 milhões de clientes, e sabe-se que alguns provedores registraram que cerca de 50% dos seus usuários foram vítimas desses ataques.
Essa negligência dos fabricantes aliada à negligência dos ISPs e à ignorância de órgãos oficiais do governo, cria um cenário que favorece os cibercriminosos, permitindo que os mesmos possam atacar à vontade.
Atividades Maliciosas de 40 Servidores DNS
Para realizar o ataque, os cibercriminosos no Brasil registraram cerca de 40 servidores DNS maliciosos em diferentes serviços de hospedagem. Quase todos eles estavam localizados fora do Brasil. Nesse contexto de falhas e favorecimento às atividades nefastas, foram registrados ataques nos quais apenas o servidor DNS primário do dispositivo foi alterado, mantendo-se o servidor DNS secundário do ISP configurado ou usando o DNS público do Google; nessa situação, o cibercriminoso ativou o DNS primário por apenas alguns momentos a cada dia, em horários específicos.
Desta forma, os atacantes poderiam controlar o tráfego e manter o critério do ataque sem levantar suspeitas. Uma vez configurado nos dispositivos, o servidor DNS malicioso dirigiria as vítimas para servidores que executam BIND com os tipos de entrada "SOA" e "A", onde vários domínios de execução de páginas falsas referentes a bancos brasileiros foram hospedados. Ainda nessa sequência de ações nefastas, outros cibercriminosos aproveitaram os redirecionamentos para instalar malware nas máquinas das vítimas.
Comprometimento de 4,5 Milhões de Modems
No último mês de março, o CERT Brasil informou que os ataques tinham comprometido cerca de 4,5 milhões de modems. Esta situação levou os bancos, provedores de Internet, fabricantes de hardware e agências governamentais se reunissem para discutir uma solução para o problema. Porém, não foi o suficiente simplesmente relatar o abuso de servidores DNS maliciosos, que foram usados no ataque que resultou em milhares de usuários afetados por dispositivos comprometidos; foi necessário ir mais longe, exigindo dos centros de suporte técnico de atendimento das empresas envolvidas uma solução para aquele imenso problema.
Alguns fabricantes, a partir de então, começaram a fornecer atualizações de firmware do modem, atualizações estas que corrigiam o problema - especialmente relacionadas aos modelos mais populares. Dessa maneira, os usuários começaram a reclamar com ISPs pedindo uma atualização de firmware, enquanto os bancos ficavam expostos aos servidores DNS maliciosos. Apesar de tudo isso, até o mês de março deste ano, a CERT Brasil registrou um total de 300 mil modems ainda comprometidos por invasores.
A finalidade maior dos atacantes, como sempre é uma característica das práticas de cibercrime no Brasil, foi roubar dados bancários das vítimas. Eles sempre farão de tudo para alcançar este objetivo, direcionando as vítimas para páginas bancárias falsas ou promover a instalação de malware através da criação de cópias de sites populares como o Google, Facebook e Orkut.
Considerações Finais
Quais medias os usuários podem tomar para não se tornarem vítimas desse tipo de ataque? Como Marta aconselhou em seu artigo, eles devem garantir a uutilização de senhas fortes, verificar suas configurações de segurança e atualizar seu firmware e qualquer software relevante, sempre de maneira regular. No momento, estas são as únicas coisas que podem realmente ser feitas. Quaisquer outros procedimentos são de total responsabilidade dos fabricantes, pois eles tem autonomia para alterar os projetos dos dispositivos.
Links de Interesse:
- Trend Labs Security Intelligence Blog
- The Tale of One Thousand Onde DSL Modems