A equipe de Inteligência e Resposta de Segurança (SIRT) da Akamai Technologies identificou que cibercriminosos estão explorando uma vulnerabilidade de segurança em câmeras de vigilância descontinuadas da marca GeoVision. A falha surgiu devido à ausência de atualizações de software desses dispositivos IoT, permitindo que esses equipamentos sejam comprometidos em ataques cibernéticos.
Segundo os pesquisadores, foi descoberto atividades direcionadas ao URI /DateSetting.cgi em sua rede global de honeypots, sistema computacional controlado criado intencionalmente para atrair ataques cibernéticos e analisar o comportamento dos invasores. Após a investigação, o relatório apontou que essa atividade foi atribuída a vulnerabilidades de injeção de comando (CVE-2024-6047 e CVE-2024-11120) que haviam sido divulgadas anteriormente em dispositivos GeoVision.
“A Akamai identificou que cibercriminosos estavam procurando na internet por dispositivos vulneráveis da GeoVision para realizar ataques usando malwares conhecidos”, explicou Alex Soares, Partner Solutions Engineer para LatAm da Akamai.
Perigo para as empresas
Os dispositivos infectados representam sérios riscos à segurança de uma empresa, conforme explicou a pesquisa. Com o controle do dispositivo, o invasor consegue monitorar o que a câmera está gravando, desativá-la e até mesmo ouvir e falar por meio do aparelho, violando a privacidade de quem está no ambiente. Assim, o dispositivo infectado se torna porta de entrada para a rede corporativa da empresa, possibilitando acesso a informações confidenciais ou levando a outros ataques, como golpes de ransomware ou vazamentos de dados, causando prejuízos milionários às companhias.
“A maioria das pessoas não monitora o que está acontecendo em segundo plano nesses aparelhos, então eles continuam funcionando normalmente mesmo depois de serem comprometidos”, comentou Soares. “
Como funciona o ataque?
A análise da organização mostrou que o malware é o LZRD, uma variante do botnet Mirai conhecida por assumir o controle dos dispositivos infectados e os conectando a um servidor remoto. Depois que um dispositivo é infectado, ele vira parte de uma rede oculta de equipamentos comprometidos, cujo objetivo é criar um grande volume de pequenos robôs (bots) para executarem ciberataques.
Os especialistas revelaram que por meio deles, os cibercriminosos podem sobrecarregar sites com acessos até que fiquem fora do ar, os chamados ataques DDoS, ou escanear a internet em busca de mais dispositivos vulneráveis para infectar, ajudando a escalonar a campanha.
A Akamai estimou que milhões de dispositivos IoT desprotegidos seguem conectados à internet e, também, às redes internas das corporações. São câmeras, roteadores, interfones e outros dispositivos inteligentes que facilitam a criação de grandes redes de bots, que representam um papel importante no aumento de mais de 94% nos ataques DDoS registrados em dezembro de 2024.
Os responsáveis pela análise afirmaram ainda que o setor de tecnologia é o que mais sofre com golpes desse tipo, com sete trilhões de ataques registrados no ano passado, de acordo com o relatório State of the Internet. Como os golpes são realizados a partir de dispositivos contaminados inseridos nas infraestruturas de corporações e até usuários finais, são essas as redes usadas nos ataques, o que dificulta o rastreamento dos criminosos responsáveis e praticamente impossibilita que a defesa seja feita apenas por humanos.
