Tecnologia
29/05/2018 - 10h32

FBI alerta sobre novo vírus da internet das coisas que pode 'destruir' roteadores domésticos


Uma nova praga digital chamada VPNFilter, descoberta pelo Talos, a equipe de segurança da Cisco, está atacando a "internet das coisas", mais especificamente roteadores de rede domésticos. Pelo menos 500 mil dispositivos já foram contaminados com o código, que pode receber comandos de seus criadores. Um desses comandos é o "kill" ("matar"), que tenta apagar a memória flash do dispositivo, inutilizando o equipamento.
 
A memória flash de roteadores e outros dispositivos da internet das coisas é responsável por armazenar o sistema embutido (ou "firmware") do aparelho. Diferente de dispositivos de armazenamento padrão, como discos rígidos de computador, não é fácil de extrair a memória flash para reprogramá-la. Sem o código armazenado nessa memória, o dispositivo também não consegue voltar ao estado de fábrica. Por isso, na prática, o equipamento é considerado inutilizado.
 
A Cisco disse que sua investigação sobre o ataque não está completa e que ainda não foi possível determinar quais estão sendo as brechas utilizadas pelos invasores para obter acesso não autorizado aos equipamentos e infectá-los (veja lista de dispositivos vulneráveis ao fim da reportagem). Segundo a empresa, o país mais atacado é a Ucrânia. O VPNFilter também guarda algumas semelhanças com o vírus BlackEnergy.
 
O BlackEnergy é um vírus sofisticado que teria sido responsável por um apagão na Ucrânia. O governo Ucraniano e outras autoridades atribuem a autoria do vírus a agências de segurança russas. O governo russo nega envolvimento no caso.
 
O alerta da Cisco foi repassado pela Cyber Threat Alliance, um grupo formado por diversas empresas do setor de tecnologia e segurança.
 
Segundo a fabricante de antivírus Sophos, que repassou o alerta da Cyber Threat Alliance, a existência de um código capaz de "matar" o roteador é uma espécie de "bomba relógio" digital. A empresa também observa que, em alguns casos, o consumidor pode ter problemas para trocar o equipamento, já que os roteadores costumam ser fornecidos pelo provedor de internet.
 
Na sexta-feira (25), o FBI divulgou um alerta recomendando que usuários reiniciem (desliguem e religuem) seus roteadores para inibir a ação do vírus, já que parte do código não contamina o dispositivo de modo permanente. Para se prevenir da praga, a recomendação é atualizar o software embarcado (firmware), disponível no site do fabricante, para a versão mais recente.
 
Download oculto em imagem do Photobucket e espionagem
 
Após contaminar um aparelho, o código do VPNFilter busca o endereço de download do "estágio 2" do ataque. O endereço de download está oculto em fotos no formato JPG armazenadas no Photobucket, um site popular para o compartilhamento de imagens. O vírus é capaz de extrair o endereço de download dos metadados da imagem onde normalmente estariam registradas as coordenadas GPS de onde a foto foi tirada.
 
O objetivo dessa medida é ocultar o propósito duplo dos arquivos e dificultar a derrubada dos canais que distribuem a praga digital.
 
Enquanto estiver presente no roteador, o VPNFilter é capaz de observar o tráfego que passa pelo equipamento para realizar espionagem. Segundo a Cisco, é possível que a praga possua diversos outros módulos, capazes de realizar outras atividades, que ainda não foram identificados.
 
Lista de dispositivos atacados
 
Segundo a Sophos, um "reflash" do firmware do fabricante é suficiente para garantir que o vírus seja removido do equipamento. Esse procedimento é realizado baixando-se o firmware no site do fabricante e aplicando-o no painel de administração do equipamento.
 
Quem possui um dos equipamentos abaixo, especialmente se o mesmo estiver desatualizado e com conexão direta à internet -- o que normalmente é o caso para esses equipamentos --, deve realizar o procedimento de flashing.
 
Marca Linksys
 
• E1200
• E2500
• WRVS4400N
 
Marca Mikrotik - Versões do RouterOS para Cloud Core
 
• 1016
• 1036
• 1072
 
Marca Netgear
 
• DGN2200
• R6400
• R7000
• R8000
• WNR1000
• WNR2000
 
Marca Qnap
 
• TS251
• TS439 Pro
 
Marca TP-Link
 
• R600VPN
 
 
Altieres Rohr
 

Comentários (0)


Fala Santos
E-mail: contato@falasantos.com.br
© 2010 Fala Santos. Todos os direitos reservados. site criado por