Um
novo botnet de Internet das Coisas (IdC) chamado Persirai (detectado
pela Trend Micro como ELF_PERSIRAI.A), foi detectado pela Trend Micro.
Segundo especialistas da companhia de segurança da informação, o botnet
foi visto atacando mais de 1.000 modelos de Câmeras Internet Protocol
(IP) com base em vários produtos de uma fabricante chinesa. O surgimento
desse botnet ocorreu logo após o Mirai - malware de backdoor com código
aberto que causou alguns dos ataques de Serviço Negado (DDoS) mais
notáveis de 2016.
A companhia detectou aproximadamente 120 mil
câmeras IP que estão vulneráveis ao ELF_PERSIRAI via Shodan. Boa parte
desses usuários vulneráveis não sabe que suas câmeras IP estão expostas à
Internet. Isso faz com que seja significativamente mais fácil que os
atacantes obtenham acesso à interface online da câmera IP por meio da
Entrada TCP 81. O Brasil foi mapeado como um dos países em que 3,43 %
das câmeras atacadas estão em uso.
Comportamento e Análise
Câmeras
IP normalmente usam um Plug e Play Universais (UPnP), protocolos de
rede que permitem aos dispositivos abrirem uma entrada no roteador e
agirem como um servidor, tornando-as alvos visíveis para os malware de
IoT.
Depois de fazer login na interface vulnerável, o invasor
pode executar um comando que força a câmera IP a se conectar a um site
de download.
Depois das amostras serem baixadas e executadas, o
malware se deleta e só será executado na memória. Ele também irá
bloquear o exploit zero-day indicando oftpupdate.sh e ftpupload.sh to
/dev/null para impedir que outros atacantes ataquem a câmera IP da
vítima. No entanto, uma vez que a câmera é reinicializada,
automaticamente ela se tornará vulnerável.
Após receber comandos
do servidor, a câmera IP automaticamente começa a atacar outras do mesmo
modelo, explorando uma vulnerabilidade zero-day que foi divulgada há
alguns meses. Por meio dessa vulnerabilidade, os atacantes acessam o
arquivo de senha do usuário, fazendo com que eles tenham os meios para
comandar as injeções mesmo que a senha seja forte.
Conclusão e Mitigação
A
Internet das Coisas passou a ganhar impulso entre os usuários comuns.
Por isso os cibercriminosos podem começar a optar por deixar de lado
servidores NTP (Network Time Protocol) e DNS (Domain Name System) e
preferir ataques de DDoS, concentrando-se em dispositivos vulneráveis —
um problema agravado pelos usuários que usam poucas medidas de
segurança.
Boa parte desses ataques foi causado pelo uso da senha
padrão na interface do dispositivo. No entanto, uma senha forte não
garante que o dispositivo permaneça seguro. Proprietários de câmera IP
devem implementar outras medidas para garantir que seus dispositivos
fiquem protegidos contra ataques externos. Além de usar uma senha forte,
os usuários também devem desativar a UPnP em seus roteadores para
impedir a abertura de entradas de Internet externas sem qualquer aviso
de dispositivos dentro da rede.
A segurança da IoT não depende só
dos usuários — também dependem dos fornecedores, que devem ser os
responsáveis por garantir que seus dispositivos permaneçam seguros e
sempre atualizados.
Fonte: Convergencia Digital