Instalar um antivirus, ter um bom firewall, prestar atenção aos sites que entra, manter programas atualizados, não clicar em um link desconhecido e muito menos rodar arquivos executáveis suspeitos. A lista de recomendações básicas para usar a internet de forma segura não é tão complexa assim. O problema é que nem todo mundo está realmente prestando atenção. E, em muitos casos, a segurança online acaba sendo tipo vacinação: quanto menos pessoas imunizadas, menor a chance da doença ser erradicada.
Publicidade
No último mês de março, a internet brasileira ajudou a provar, mais uma vez, que essa lógica se aplica a nós. Centenas de roteadores foram alvo de um ataque que deixava redes de computadores inteiras vulneráveis e pode ter exposto os dados de milhares de pessoas.O especialista em segurança da informação e pesquisador Sênior da Trend Micro, Fernando Mercês, explica que recebeu a amostra de um vírus que havia infectado o roteador de um amigo. “Quando a gente localiza alguma coisa assim, a gente vai atrás da nossa base de inteligência pra ver se aquilo é alguma coisa”, explicou o pesquisador.Ao analisar o código do malware executado na máquina, verificou um comportamento curioso por parte delas. “O ataque foi feito de forma que uma vez que uma vítima era infectada, ela atacava e infectava também outros roteadores”.Mercês chegou a perceber que pelo menos 800 roteadores com o sistema operacional RouterOS, desenvolvido pela empresa letã Mikrotik, foram atingidos pelo ataque no Brasil.Ele explica que este tipo de dispositivo é tratado na formação tradicional de TI como um equipamento de suporte que você apenas liga a seu computador, mas a realidade não é mais tão simples assim. “Com o desenvolvimento da área de Internet das Coisas, eles também se tornaram computadores, então você precisa ter a mesma atenção e cuidados”, observou.
Vulnerabilidades de roteadores da MikroTik listadas no Exploit-db. Crédito: Trend Micro
Um dos possíveis caminhos de entrada para esses roteadores foi uma série vulnerabilidades divulgadas entre os dias 12 e 15 do último mês de março, que possibilitam a execução de um código malicioso no sistema do aparelho.
Publicidade
O que complica a situação quando um roteador é alvo de um ataque é o fato dele ser um intermediário entre os computadores de uma determinada rede e a internet. Se um atacante tomar controle e captar quais informações você está mandando para a internet, é bem provável que tudo o que você fizer online, sem criptografia, estará em domínio do criminoso responsável pelo ataque.No caso desse último ataque, o código malicioso enviado para os roteadores alterava endereço do servidor DNS (sigla em inglês para Sistema de Nomes de Domínios) utilizado pelos aparelhos foi alterado. DNS é o que define qual é o endereço do site, o sistema que faz com que você possa digitar “www.google.com” em vez de “172.217.29.132” na barra de endereço do seu navegador.Ao alterar o endereço do servidor DNS, os criminosos conseguem direcionar você para uma página criada por eles para emular qualquer site que eles queiram. Pode ser a página de login do Facebook, ou de um banco, como já aconteceu com um banco brasileiro em março do ano passado.Segundo explicou Mercês, outro fator complicador para a identificação dos criminosos foi um mecanismo que fazia com que os endereços falsos não fossem passados todas as vezes. “Isso já aconteceu, quando invadiram o DNS da NET Virtua no Brasil, os criminosos ligavam o ataque por volta da meia noite e desligavam ele às seis horas da manhã”, comentou Mercês.
Site listando os roteadores infectados. Crédito: Trend Micro
Além da alteração do DNS, o vírus utilizado no ataque também transformava a máquina da vítima em proxies. Segundo explicou Mercês, essa técnica é bastante utilizada para cometer fraudes sem que o criminoso tenha o seu endereço de IP real identificado. “E se a polícia fizer uma investigação a esse respeito, vai chegar em uma vítima e não no criminoso de fato”, observou o pesquisador.O ataque ficou pouco tempo no ar, conforme estimou Mercês: cerca de uma semana. Foi o bastante para que uma lista com os endereços infectados fossem publicados em um fórum oferecendo a utilização das máquinas como proxies.E apesar da impossibilidade de apontar qual foi a origem do grupo de criminosos responsável pelo ataque, Mercês crê que a origem foi brasileira. Pois, além de praticamente todos os alvos estarem em território nacional, o modo de operação foi o mesmo usado na maioria das fraudes bancárias, a principal forma de ataque que acontece no Brasil.Leia mais matérias de ciência e tecnologia no canal MOTHERBOARD . Siga o Motherboard Brasil no Facebook e no Twitter . Siga a VICE Brasil no Facebook , Twitter, no Instagram e no YouTube.
