A Trend Micro acaba de detectar um novo botnet de Internet das Coisas (IdC) chamado Persirai (detectado pela Trend Micro como ELF_PERSIRAI.A). Ele foi visto atacando mais de 1.000 modelos de Câmeras Internet Protocol (IP) com base em vários produtos de uma fabricante chinesa. O surgimento desse botnet ocorreu logo após o Mirai – malware de backdoor com código aberto que causou alguns dos ataques de Serviço Negado (DDoS) mais notáveis de 2016.
Foi detectado aproximadamente 120 mil câmeras IP que estão vulneráveis ao ELF_PERSIRAI via Shodan. Boa parte desses usuários vulneráveis não sabem que suas câmeras IP estão expostas à Internet. Isso faz com que seja significativamente mais fácil que os atacantes obtenham acesso à interface online da câmera IP por meio da Entrada TCP 81. O Brasil foi mapeado como um dos países em que 3,43 % das câmeras atacadas estão em uso.
Comportamento e Análise
Câmeras IP normalmente usam um Plug e Play Universais (UPnP), protocolos de rede que permitem aos dispositivos abrirem uma entrada no roteador e agirem como um servidor, tornando-as alvos visíveis para os malware de IoT. Depois de fazer login na interface vulnerável, o invasor pode executar um comando que força a câmera IP a se conectar a um site de download.
Depois das amostras serem baixadas e executadas, o malware se deleta e só será executado na memória. Ele também irá bloquear o exploit zero-day indicando oftpupdate.sh e ftpupload.sh to /dev/null para impedir que outros atacantes ataquem a câmera IP da vítima. No entanto, uma vez que a câmera é reinicializada, automaticamente ela se tornará vulnerável.
Após receber comandos do servidor, a câmera IP automaticamente começa a atacar outras do mesmo modelo, explorando uma vulnerabilidade zero-day que foi divulgada há alguns meses. Por meio dessa vulnerabilidade, os atacantes acessam o arquivo de senha do usuário, fazendo com que eles tenham os meios para comandar as injeções mesmo que a senha seja forte.
Conclusão e Mitigação
A Internet das Coisas passou a ganhar impulso entre os usuários comuns. Por isso os cibercriminosos podem começar a optar por deixar de lado servidores NTP (Network Time Protocol) e DNS (Domain Name System) e preferir ataques de DDoS, concentrando-se em dispositivos vulneráveis — um problema agravado pelos usuários que usam poucas medidas de segurança.
Boa parte desses ataques foi causado pelo uso da senha padrão na interface do dispositivo. No entanto, uma senha forte não garante que o dispositivo permaneça seguro. Proprietários de câmera IP devem implementar outras medidas para garantir que seus dispositivos fiquem protegidos contra ataques externos. Além de usar uma senha forte, os usuários também devem desativar a UPnP em seus roteadores para impedir a abertura de entradas de Internet externas sem qualquer aviso de dispositivos dentro da rede.
A segurança da IoT não depende só dos usuários — também dependem dos fornecedores, que devem ser os responsáveis por garantir que seus dispositivos permaneçam seguros e sempre atualizados.