Boadica - Notícias - Novo botnet da Internet das Coisas (IoT) ataca mais de 100 mil câmeras IP

Um novo botnet de Internet das Coisas (IdC) chamado Persirai (detectado pela Trend Micro como ELF_PERSIRAI.A), foi detectado pela Trend Micro. Segundo especialistas da companhia de segurança da informação, o botnet foi visto atacando mais de 1.000 modelos de Câmeras Internet Protocol (IP) com base em vários produtos de uma fabricante chinesa. O surgimento desse botnet ocorreu logo após o Mirai - malware de backdoor com código aberto que causou alguns dos ataques de Serviço Negado (DDoS) mais notáveis de 2016.

A companhia detectou aproximadamente 120 mil câmeras IP que estão vulneráveis ao ELF_PERSIRAI via Shodan. Boa parte desses usuários vulneráveis não sabe que suas câmeras IP estão expostas à Internet. Isso faz com que seja significativamente mais fácil que os atacantes obtenham acesso à interface online da câmera IP por meio da Entrada TCP 81. O Brasil foi mapeado como um dos países em que 3,43 % das câmeras atacadas estão em uso.

Comportamento e Análise

Câmeras IP normalmente usam um Plug e Play Universais (UPnP), protocolos de rede que permitem aos dispositivos abrirem uma entrada no roteador e agirem como um servidor, tornando-as alvos visíveis para os malware de IoT.

Depois de fazer login na interface vulnerável, o invasor pode executar um comando que força a câmera IP a se conectar a um site de download.

Depois das amostras serem baixadas e executadas, o malware se deleta e só será executado na memória. Ele também irá bloquear o exploit zero-day indicando oftpupdate.sh e ftpupload.sh to /dev/null para impedir que outros atacantes ataquem a câmera IP da vítima. No entanto, uma vez que a câmera é reinicializada, automaticamente ela se tornará vulnerável.

Após receber comandos do servidor, a câmera IP automaticamente começa a atacar outras do mesmo modelo, explorando uma vulnerabilidade zero-day que foi divulgada há alguns meses. Por meio dessa vulnerabilidade, os atacantes acessam o arquivo de senha do usuário, fazendo com que eles tenham os meios para comandar as injeções mesmo que a senha seja forte.

Conclusão e Mitigação

A Internet das Coisas passou a ganhar impulso entre os usuários comuns. Por isso os cibercriminosos podem começar a optar por deixar de lado servidores NTP (Network Time Protocol) e DNS (Domain Name System) e preferir ataques de DDoS, concentrando-se em dispositivos vulneráveis — um problema agravado pelos usuários que usam poucas medidas de segurança.

Boa parte desses ataques foi causado pelo uso da senha padrão na interface do dispositivo. No entanto, uma senha forte não garante que o dispositivo permaneça seguro. Proprietários de câmera IP devem implementar outras medidas para garantir que seus dispositivos fiquem protegidos contra ataques externos. Além de usar uma senha forte, os usuários também devem desativar a UPnP em seus roteadores para impedir a abertura de entradas de Internet externas sem qualquer aviso de dispositivos dentro da rede.