Pesquisadores do
Netlab 360 da
China anunciaram a descoberta de milhares de roteadores infectados por malware fabricados pela empresa letã MikroTik. A vulnerabilidade que os invasores usam foi descoberta em abril, e a própria empresa
já lançou um patch para corrigir o problema.
Mas milhares de roteadores permanecem vulneráveis e agora, já que ninguém está atualizando seu firmware - muitas empresas e usuários particulares comuns simplesmente não prestam atenção a esse aspecto. Quanto ao número total de roteadores, cerca de 7,5 mil dispositivos foram comprometidos (o que os especialistas descobriram). Em geral, a rede ainda possui cerca de 370 mil roteadores, cuja vulnerabilidade no software ainda não foi corrigida.
Os invasores coletam dados do usuário de dispositivos comprometidos, redirecionando as informações recebidas para seus servidores. A propósito, cerca de 239 mil roteadores são transformados em proxies do SOCKS 4, que são facilmente acessíveis.
Quanto ao MikroTik, ele fornece equipamentos e software sem fio, fornecendo sistemas para empresas e indivíduos. Os dispositivos da empresa letã são usados ativamente por grandes provedores de serviços de rede. A maioria dos dispositivos deste fabricante está fisicamente localizada no Brasil e na Rússia. Muitos deles estão nos EUA.
A propósito, os chineses não são os primeiros a prestar atenção ao problema com os roteadores Mirotik - representantes anteriores da empresa Trustwave chamaram a atenção para o ataque de malware nesses dispositivos. A vulnerabilidade no software de dispositivo de rede ficou conhecida após o vazamento do Vault7. Inicialmente, os invasores injetaram o Coinhive JavaScrip na página de erro costurada no roteador e, em seguida, todas as solicitações da Web foram redirecionadas para esta página. Mas os desenvolvedores do primeiro malware para roteadores cometeram um erro e bloquearam o acesso a páginas externas para solicitações que já são executadas usando um dispositivo invadido.
O segundo ataque
descoberto pela equipe do Netlab 360 transformou dispositivos de rede invadidos em uma rede proxy maliciosa usando o protocolo SOCKS4 para uma porta TCP não padrão (4153). E o acesso, neste caso, está aberto apenas para dispositivos de um intervalo muito limitado de endereços IP, 95.154.216.128/25. Quase todo o tráfego foi direcionado para 95.154.216.167, um endereço vinculado a um serviço de hospedagem localizado no Reino Unido.
Ainda não está claro por que rotômeros rachados são usados. Talvez para procurar outros dispositivos vulneráveis.
Quanto ao novo problema com o MikroTik, neste caso, é usado um sniffer baseado no protocolo TZSP. É capaz de enviar pacotes para sistemas remotos usando o Wireshark ou seus análogos. Os 7.500 roteadores comprometidos mencionados acima redirecionaram o tráfego de rede, principalmente FTP e email. Uma pequena quantidade de dados relacionados ao controle remoto de dispositivos de rede, mas para uma seleção restrita de IP, também foi observada. A maioria dos pacotes de dados é roteada para um provedor de IP de Belize.
Este não é o único ataque desse tipo. No mês passado,
ficou conhecido um grupo de cibercriminosos que explorou uma vulnerabilidade em roteadores de outro fabricante - o Dlink. Nesse caso, os criminosos cibernéticos podem alterar remotamente as configurações do serviço DNS do roteador para redirecionar o usuário do dispositivo para o recurso criado pelos próprios hackers.
As vulnerabilidades são afetadas por modelos de roteador como DLink DSL-2740R, DSL-2640B, DSL-2780B, DSL-2730B e DSL-526B. Já foi mencionado acima que poucas pessoas monitoram a atualização de software dos roteadores, exceto as organizações em que isso é extremamente importante (e que nem sempre), para que os roteadores comprometidos possam trabalhar por um período muito longo sem detectar um problema. O ataque de agosto ao Dlink foi destinado a clientes dos dois maiores bancos brasileiros - Banco de Brasil e Unibanco.
Os invasores falsificaram sites bancários e redirecionaram os usuários para cópias. Como resultado, vítimas inocentes inseriram dados de acesso e, assim, transmitiram essas informações aos criminosos cibernéticos.