O texto pode ser complicado para alguns, mas vale a leitura para saber que quase tudo que esta conectado pode ser infectado como roteadores, impressoras, dvr’s, modem…

Hackers começaram a adicionar rotinas de limpeza de dados em malwares que são feitos para infectar aparelhos embutidos e de Internet das Coisas (IoT). Dois ataques observados recentemente mostram esse comportamento, mas provavelmente para objetivos diferentes.

Pesquisadores da Palo Alto Networks descobriram um novo malware chamado Amnesia que infecta gravadores de vídeos digitais por meio de um vulnerabilidade existente há um ano. O Amnesia é uma variação de um cliente de botnet para IoT mais antigo chamado Tsunami, mas o que o torna interessante é que tente detectar se está rodando dentro de um ambiente virtualizado.

O malware realiza algumas verificações para determinar se o ambiente Linux em que está rodando é uma máquina virtual baseada em VirtualBox, VMware ou QEMU. Tais ambientes são usados por pesquisadores de segurança para criar sandboxes ou honeypots de análise.

A detecção de máquina virtual existe em programas de malware para Windows há anos, mas essa é a primeira vez que o recurso foi observado em malware criado aparelhos embutidos baseados em Linux. Caso o Amnesia detecte a presença de uma máquina virtual, irá tentar limpar diretórios críticos a partir do sistema de arquivos usando o comando Linux “rm –rf” para destruir qualquer evidência que possa ter sido coletada.

Enquanto isso, os pesquisadores da fornecedora de serviços de segurança Radware descobriram um tipo diferente de malware, direcionado a aparelhos de Internet das Coisas, que eles chamaram de BrickerBot. Esse ataque é lançado a partir roteadores e pontos de acesso wireless comprometidos contra outros aparelhos embutidos baseados em Linux.

O malware tenta fazer a autenticação com combinações comuns de nome de usuário e senha em aparelhos que possuam o serviço Telnet rodando e estejam expostos à Internet. Caso seja bem-sucedido, o ataque então lança uma série de comandos destrutivos com a intenção sobrescrever dados a partir das partições montadas – além de tentar derrubar a conexão com a Internet e tornar o aparelho inutilizável.

Apesar de alguns aparelhos poderem sobreviver ao ataque por usarem partições apenas para leitura, muitos não irão e precisarão de um reenvio de firmware. Além disso, qualquer configuração provavelmente será perdida e, no caso de roteadores ou aparelhos de armazenamento embutidos com entradas USB, os dados dos discos externos também poderão ser apagados.

Na verdade, uma das variações do ataque BrickerBot nem é limitada a aparelhos embutido e de IoT e funcionará em qualquer sistema baseado em Linux que seja acessível via Telnet, caso possua credenciais fracas ou padrão.

Ainda não está claro qual o objetivo por trás dos ataques BricketBot. O criador do malware pode ser alguém que queira desabilitar aparelhos vulneráveis na Internet para que não possam ser infectados ou abusados por outros hackers.

Alguns dos maiores ataques de negação de serviço (DDoS) observados no último ano tiveram origem em botnets compostas de aparelhos de IoT hackeados. Por isso, o objetivo do ataque pode ser forçar os usuários a se mexerem e solucionarem ou substituírem seus aparelhos vulneráveis.

A maioria dos usuários provavelmente não sabe se os seus roteadores, câmeras IP, ou sistemas de armazenamento conectados à rede estão infectados com malware e estão sendo usados em ataques DDoS, uma vez que o impacto no desempenho deles pode ser imperceptível. No entanto, eles saberão imediatamente que há algo de errado caso sejam atingidos pelo BrickerBot. Isso porque os seus aparelhos deixarão de funcionar e muitos deles exigirão uma intervenção manual para serem consertados.

O bot Amnesia é um ótimo de como vulnerabilidades podem persistir por anos em aparelhos conectados sem serem corrigidas. A falha explorada pelo malware para se propagar foi revelada há mais de um ano e afeta mais de 70 marcas de gravadores digitais de vídeos (DVRs).

A razão pela qual tantos modelos de DVR foram afetados é que as companhias vendendo os aparelhos com marcas diferentes na verdade pegaram o hardware e o firmware da mesma fabricante na China – uma empresa chamada Shenzhen TVT Digital Technology.

Essa prática de “white label” é comum para muitos aparelhos de Internet das Coisas, incluindo câmera IP e roteadores, e torna muito difícil a distribuição de patches para os aparelhos afetados. Também é uma das razões para esses aparelhos não possuírem updates automáticos.

No momento, há mais de 227 mil aparelhos de DVR no mundo que possuem essa vulnerabilidade e estão diretamente expostos à Internet, segundo a Palo Alto. A maior parte deles está nos EUA, Taiwan, Israel, Turquia e Índia.

Ao comprar uma câmera, roteador, sistema NAS ou outro aparelho de Internet das Coisas, o usuário deve ficar de olho no registro de segurança da fabricante. A empresa possui um ponto de contato dedicado para questões de segurança? Como lidou com vulnerabilidades no passado? Costuma publicar alertas de segurança? Libera patches de segurança com regularidade? Oferece suporte aos produtos por um tempo significativo? Os produtos possuem um recurso de updates automáticos?