Na última semana, um wormware semelhante ao malware Mirai, usado no ataque à empresa de serviços de DNS Dyn, ganhou a mídia com ataques a empresas fornecedoras de internet no Reino Unido.
Especificamente, clientes das empresas TalkTalk e PostOffice reportaram quedas na internet e, assim como no incidente da Dyn, envolvendo câmeras WiFi, dessa vez os hackers também se aproveitaram de vulnerabilidades nos roteadores.
É Mirai, mas não é
A infestação do malware Mirai começou no mês passado na Alemanha, com cerca de 900 mil clientes da Deutsche Telekom enfrentando problemas de conectividade com seus roteadores.
O problema então se espalhou para o Reino Unido. Porém, em uma análise mais aprofundada, especialistas em segurança começaram a notar algumas diferenças.
A nova variante do malware Mirai – chamada de Annie – se aproveita da porta 7547, não da porta 23 (telnet). Como as empresas de internet e telecomunicações já sabem, essa é a porta usada para gerir roteadores usando o obscuro protocolo TR-064.
Resumindo, os hackers adquiriram a capacidade de usar o protocolo diretamente para pegar a senha WiFi do roteador junto do nome da rede wireless.
Para piorar, os cibercriminosos descobriram uma má configuração de outro comando do protocolo TR-064 que permite invadir ou injetar seus próprios comandos.
Os comandos então baixam e executam códigos binários de servidores C2 que dão início ao processo de espalhar o Annie.
Entenda os objetivos
Todo o processo necessário para invadir a rede não exige nenhuma autenticação – nem nome de usuário, nem senha. Provavelmente ninguém das empresas fornecedoras de internet ou dos fabricantes de roteadores ouviu falar de privacidade desde a concepção (em inglês, privacy by design).
De qualquer maneira, parece que as quedas no serviço foram resultado de um aumento no tráfego das redes das empresas fornecedoras de internet, pois cada vez mais roteadores passaram a enviar solicitações às suas portas.
Aparentemente, o wormware Annie não interfere na função de roteamento. Em outras palavras, a condição de DDoS pode ter sido uma consequência inesperada. Há também a teoria de que diferentes gangues cibernéticas estejam envolvidas, com algumas usando outra variante do malware Mirai.
O principal objetivo do ataque, porém, não está claro – além de mostrar que é possível explorar roteadores vulneráveis em larga escala.
A TalkTalk respondeu à ameaça consertando o erro no protocolo TR-064 com um novo firmware que desabilita o acesso à porta aberta. O patch também restaura a senha WiFi às configurações de fábrica – colocando a senha que vem na caixa do aparelho.
Senhas estão na mira dos hackers
O especialista em testes de invasão Ken Munro notou uma falha de segurança na resposta inicial da TalkTalk. Como a maioria dos consumidores nunca se incomodou em trocar a senha do WiFi, a maioria das senhas roubadas pelos hackers continuará valendo.
Os cibercriminosos podem usar ferramentas para geolocalizar o roteador e usá-lo para propósitos maliciosos. Portanto, é possível que as senhas WiFi sejam o principal interesse dos hackers.
Grupos cibercriminosos podem vender esses dados na darkweb. Imagine o valor cobrado pela senha do roteador de executivos de grandes empresas!
O que você deve fazer agora
Apesar de terem acontecido na Europa, empresas e usuários brasileiros também estão sujeitos a incidentes deste tipo. Assim como no resto do mundo, no Brasil poucos se lembram de trocar configurações de fábrica de seus dispositivos conectados à internet.
Portanto, se você mantém dispositivos com configuração de fábrica, o melhor a fazer é trocar agora suas senhas.