ASemana 36 anos.png
ASemana 36 anos.png
  

Novo vírus da internet das coisas pode 'destruir' roteadores domésticos, alertam empresas

Por Altieres Rohr, G1


 Praga se infiltra em dispositivos de rede para realizar espionagem. (Foto: Mike Gieson/Freeimages.com)

Uma nova praga digital chamada VPNFilter, descoberta pelo Talos, a equipe de segurança da Cisco, está atacando a "internet das coisas", mais especificamente roteadores de rede domésticos. Pelo menos 500 mil dispositivos já foram contaminados com o código, que pode receber comandos de seus criadores. Um desses comandos é o "kill" ("matar"), que tenta apagar a memória flash do dispositivo, inutilizando o equipamento.

A memória flash de roteadores e outros dispositivos da internet das coisas é responsável por armazenar o sistema embutido (ou "firmware") do aparelho. Diferente de dispositivos de armazenamento padrão, como discos rígidos de computador, não é fácil de extrair a memória flash para reprogramá-la. Sem o código armazenado nessa memória, o dispositivo também não consegue voltar ao estado de fábrica. Por isso, na prática, o equipamento é considerado inutilizado.

A Cisco disse que sua investigação sobre o ataque não está completa e que ainda não foi possível determinar quais estão sendo as brechas utilizadas pelos invasores para obter acesso não autorizado aos equipamentos e infectá-los (veja lista de dispositivos vulneráveis ao fim da reportagem). Segundo a empresa, o país mais atacado é a Ucrânia. O VPNFilter também guarda algumas semelhanças com o vírus BlackEnergy.

O BlackEnergy é um vírus sofisticado que teria sido responsável por um apagão na Ucrânia. O governo Ucraniano e outras autoridades atribuem a autoria do vírus a agências de segurança russas. O governo russo nega envolvimento no caso.

O alerta da Cisco foi repassado pela Cyber Threat Alliance, um grupo formado por diversas empresas do setor de tecnologia e segurança.

Segundo a fabricante de antivírus Sophos, que repassou o alerta da Cyber Threat Alliance, a existência de um código capaz de "matar" o roteador é uma espécie de "bomba relógio" digital. A empresa também observa que, em alguns casos, o consumidor pode ter problemas para trocar o equipamento, já que os roteadores costumam ser fornecidos pelo provedor de internet.

Na sexta-feira (25), o FBI divulgou um alerta recomendando que usuários reiniciem (desliguem e religuem) seus roteadores para inibir a ação do vírus, já que parte do código não contamina o dispositivo de modo permanente. Para se prevenir da praga, a recomendação é atualizar o software embarcado (firmware), disponível no site do fabricante, para a versão mais recente.

Download oculto em imagem do Photobucket e espionagem

Após contaminar um aparelho, o código do VPNFilter busca o endereço de download do "estágio 2" do ataque. O endereço de download está oculto em fotos no formato JPG armazenadas no Photobucket, um site popular para o compartilhamento de imagens. O vírus é capaz de extrair o endereço de download dos metadados da imagem onde normalmente estariam registradas as coordenadas GPS de onde a foto foi tirada.

O objetivo dessa medida é ocultar o propósito duplo dos arquivos e dificultar a derrubada dos canais que distribuem a praga digital.

Enquanto estiver presente no roteador, o VPNFilter é capaz de observar o tráfego que passa pelo equipamento para realizar espionagem. Segundo a Cisco, é possível que a praga possua diversos outros módulos, capazes de realizar outras atividades, que ainda não foram identificados.

Lista de dispositivos atacados

Segundo a Sophos, um "reflash" do firmware do fabricante é suficiente para garantir que o vírus seja removido do equipamento. Esse procedimento é realizado baixando-se o firmware no site do fabricante e aplicando-o no painel de administração do equipamento.

Quem possui um dos equipamentos abaixo, especialmente se o mesmo estiver desatualizado e com conexão direta à internet -- o que normalmente é o caso para esses equipamentos --, deve realizar o procedimento de flashing.

Marca Linksys

E1200

E2500

WRVS4400N

Marca Mikrotik - Versões do RouterOS para Cloud Core

1016

1036

1072

Marca Netgear

DGN2200

R6400

R7000

R8000

WNR1000

WNR2000

Marca Qnap

TS251

TS439 Pro

Marca TP-Link

R600VPN


OculoseCia.gif
ConexaoMaster.gif

Jornal "A Semana" | Rua Daniel Moraes, 50, bairro Aparecida | 89520-000 | Curitibanos | (49) 3245-1711