Nestas ocasiões eu tenho o hábito de fazer um preâmbulo do texto e repassar a nota divulgada pela empresa. Porém dessa vez vou me permitir explicar um pouco mais alguns conceitos porque julgo extremamente perigoso o que foi divulgado.
Essencialmente trata-se de um "envenenamento de DNS", mas feito de forma genial e diabólica. DNS é um serviço que existe na Internet que eu compararia à lista Telefônica. Você procura pelo nome de alguém e a lista informa o número que deve ser discado, fácil assim. Na Internet para qualquer tipo de acesso a "lista telefônica" tem que ser pesquisada pois computadores só se comunicam por endereços IP e não por endereços como www.fxreview.com.br.
Uma das ações mais comuns entre vírus e malwares é desviar a "lista telefônica" do seu computador para que ela efetue a comunicação com sites falsos (notadamente serviços financeiros) e leve o incauto usuário a telas que o fazem entregar seus dados para os bandidos virtuais. Porém os antivírus e mesmo medidas de segurança dos sistemas operacionais já há algum tempo sabem muito bem defender o computador deste tipo de ataque de DNS. Em tese isso não seria mais problema.
Porém o que a Kaspersky Labs por meio de seu analista Fabio Assolini divulgou é uma forma nova, genial e terrível de ataque. O texto abaixo replicado explica com mais detalhes, mas essencialmente os gatunos cibernéticos descobriram que os modems ADSL, estes que ficam nas casas e empresas provendo a comunicação têm vulnerabilidades que permitem que as pessoas mal intencionadas entrem em suas configurações e alterem, por exemplo, o endereço do servidor de DNS, ou seja, eles alteram a "lista telefônica" que seu roteador utiliza e direciona para un DNS falso, propositalmente adulterado para que leve o usuário a sites falsos onde ele terá seus dados e senhas roubadas.
Como isso ocorre fora do ambiente do computador, o antivírus não tem como atuar e salvar o usuário desta primeira fase do ataque. Um bom antivírus ainda pode ajudar mesmo nesta hora porque estes fazem "análise comportamental" das ações e podem inferir uma ação maliciosa e alertar o usuário.
A leitura da nota abaixo da Kasperky Labs é essencial!!
Flavio Xandó
Ataque compromete 4,5 milhões de modems ADSL no Brasil
By Fabio Assolini
Após um ano de pesquisa, a Kaspersky Lab divulga (com detalhes) a
atuação de um ataque contra modems ADSL em atividade no Brasil desde 2011,
que infectou mais de 4,5 milhões de modems, segundo o último informativo da
CERT Brasil, para isso utilizando 40 servidores maliciosos de
DNS (sistemas de nomes de domínio) para roubar dados de usuários de
internet banking de forma massiva e silenciosa.
Diferentemente dos ataques comuns, que visam atacar o PC, este
tinha como objetivo infectar e alterar as configurações de dispositivos de
redes (os modems de internet) domésticos desatualizados por meio de uma
vulnerabilidade presente no firmware dos equipamentos. A eficácia e tempo
prolongado de atuação do ataque (que ainda está ativo) justifica-se pela
negligência generalizada dos fabricantes do hardware e provedores de internet e
por falta de conhecimento técnico por parte dos proprietários, que uma vez que
instalam o modem, não se preocupam com a aplicação de atualizações de firmware
fornecidos pelos fabricantes. Vale ressaltar que a atualização do firmware do
modem é uma operação avançada e que, caso realizada erroneamente, pode
inutilizar o equipamento.
Exemplo de modem ADSL
Sem muito alarde, uma falha em um modelo específico de modem,
descoberta em março de 2011, permitiu o acesso e roubo da senha de
administrador no equipamento. entretanto, não se sabe exatamente quando os
criminosos começaram a explorá-la. Ao acessar o modem, o cibercriminoso
alterava a configuração do sistema de nomes de domínio (DNS) e mudava a senha
para impedir que o proprietário pudesse remover as alterações feitas no
equipamento. Aparentemente, a falha não está relacionada a um modelo ou
fabricante, mas sim ao driver do chipset que executa as principais funções do
equipamento e é comprado por fabricantes de modems domésticos. Todos os
dispositivos afetados têm em comum chipset Broadcom, inclusive em modems
aprovados pela Agência Nacional de Telecomunicações do governo brasileiro.
Curiosamente, nem todos os dispositivos que usam esse chip apresentam a falha.
Para concluir o golpe, os criminosos brasileiros registraram 40
servidores DNS maliciosos em diferentes serviços de hospedagem (quase todos
fora do Brasil), que eram configurados como DNS primário, mantendo-se o
servidor secundário do provedor de internet ou DNS público do Google como
endereço alternativo. Desta forma, os atacantes poderiam controlar o tráfego e
manter a discrição do ataque, pois os DNSs maliciosos eram ativados apenas em
alguns momentos de cada dia, em horários específicos. Uma vez em funcionamento,
o DNS malicioso dirigia as vítimas para páginas falsas de bancos brasileiros.
Outros bandidos também aproveitaram os redirecionamentos para instalar malware
em máquinas das vítimas.
A situação é agravada pelo fato de que, mesmo sem a vulnerabilidade,
diversos modems são comercializados com senhas padrões e os usuários muitas
vezes não as alteram. Já outros dispositivos são criados quando os provedores
de internet habilitam contas de acesso remoto e as credenciais são conhecidas
por criminosos. Para piorar, ainda há a negligência por parte dos fabricantes
que, mesmo depois de serem alertados, demoram a liberar as atualizações de
firmware necessárias para resolver o problema.
Esta situação levou bancos, provedores de internet, fabricantes de
hardware e agências governamentais a se reunir para discutir uma solução para o
problema. Porém, a apatia dos fabricantes e provedores de serviços, somado à
ignorância dos órgãos oficiais brasileiros (que não avaliam medidas de
segurança dos dispositivos), criaram uma "tempestade perfeita" e
permitiram que os cibercriminosos atacassem livremente. Em março de 2012, o
CERT.br havia registrado um total de 300 mil modems ainda estavam
comprometidos.
Mais informações sobre a pesquisa, acesse o artigo original (em
inglês) no Securelist: http://www.securelist.com/en/blog/208193852/The_tale_of_one_thousand_and_one_DSL_modems.
Nenhum comentário:
Postar um comentário