Uma nova botnet de Internet das Coisas surgiu nos servidores de ‘GTA’

A comunidade online de Grand Theft Auto: San Andreas tem servido como fértil celeiro para criação de uma nova botnet voltada para dispositivos conectados à Interrnet das Coisas. Ao que tudo indica, esta rede é capaz de promover ataques distribuídos de negação de serviços (DDoS) de até 300gbps contanto que você pague 20 dólares, de acordo com relatório publicado pela empresa do setor de segurança cibernética Radware. Para garantir a operação, roteadores vulneráveis são convocados à botnet, em particular os fabricados por empresas como Realtek e Huawei.

Em entrevista cedida ao telefone, o pesquisador da Radware Pascal Geenens comentou que descobriu a botnet quando um de seus honeypots – tipo de sistema que atrai gente mal-intencionada – detectou novo malware. O sistema em questão monitorava áreas na Europa, mas Geenens logo percebeu que o alcance da botnet era muito mais amplo: mais de 100 de seus honeypots espalhados pelo mundo acabaram detectando o malware que infecta dispositivos ligados à Internet das Coisas.

Assim como no caso da infame botnet Mirai que o precedeu, o malware em questão, batizado como JenX por Geenens, surgiu da comunidade gamer online – neste caso em específico, dos servidores de Grand Theft Auto: San Andreas. O grupo hacker, que se intitula San Calvicie, vende servidores de GTA modificados em três categorias diferentes.

O serviço mais caro, listado acima, chamava-se Corriente Divina, e permitia a usuários controlarem a botnet para lançar ataques DDoS. Na descrição, o grupo afirma, em tom de piada: “A ira de Deus recairá sobre o IP que você nos informar”.

O site do grupo San Calvicie afirma que por apenas 20 dólares seus clientes poderiam utilizar estes bots para lançar ataques de 90 a 100 gbps, número que aumentou em poucos dias para 290 a 300 gbps.

“Isso é metade da Mirai, mas já é o bastante para derrubar grande parte das empresas na rede hoje, inclusive instituições financeiras”, afirmou Geenens. “É possível derrubá-las e causar sérios prejuízos com um ataque de 300 gbps.”

Por mais que tais ataques tenham servido para atrapalhar a vida de outros servidores de San Andreas, Geenens comentou que a botnet pode ser usada em ataques mais amplos. “Não creio que a San Calvicie se importe caso você decida atacar um servidor de GTA ou um grande banco, contanto que pague os 20 dólares pelo serviço”, afirmou.

Não conseguimos confirmar se o JenX foi usado para atacar qualquer outra coisa que não os servidores de GTA até o momento. Pode parecer esforço demais tudo isso só pra derrubar os servidores de um jogo com quase 14 anos de idade, mas por trás destes ataques aparentemente triviais há potencial para muito lucro: ao vender servidores e oferecer poderosos ataques a interessados, os hackers por trás do San Calvicie podem derrubar os servidores de seus rivais e atrair mais gamers para os seus.

“Esse é o modelo de negócios por trás de tudo”, disse Geenens. “Você pode alugar os servidores e também serviços de DDoS para atacar seus rivais, atraindo assim mais usuários para os servidores alugados com a San Calvicie.”

Geenens divulgou seu relatório completo sobre o ataque em 1º de fevereiro com o título “Los Calvos de San Calvicie”. Preocupado com a possibilidade de retaliação, Geenens disse ter tomado algumas medidas de segurança.

“A primeira coisa que fiz foi mudar as senhas de todas as minhas redes sociais e configurá-las para autenticação dupla”, comentou. “Me preparei um pouquinho.”

Dias após a divulgação do relatório, o site da San Calvicie foi atualizado, contando agora com uma montagem horrível de um personagem fortemente armado de GTA com o rosto de Geenens.

O crescimento da botnet JenX deve muito ao criador da botnet conhecida como “BrickerBot”. No ano passado, um hacker justiceiro que se apresenta como The Janit0r usou sua própria botnet para desativar 10 milhões de aparelhos conectados à Internet das Coisas considerados inseguros. Duas das vulnerabilidades utilizadas no ataque em questão - CVE-2014-8361 e CVE-2017-17215 – servem de base para a JenX, de acordo com informações da Radware.

Mas ao passo em que o BrickerBot e seu criador tinham como objetivo desabilitar aparelhos vulneráveis de forma a proteger a internet de possíveis criminosos, o caso da JenX parece envolver só lucros mesmo.

Por mais que a botnet venha crescendo, é improvável que a JenX chegue ao mesmo nível que botnets como Mirai e Satori. Essas, ao infectarem um aparelho, faziam com que este buscasse outros dispositivos vulneráveis por conta própria. A JenX, por sua vez, busca aparelhos vulneráveis por meio de um único servidor de comando, o que limita sua possibilidade de expansão. “No caso desta recente, são só alguns servidores em busca de elementos vulneráveis, então não é possível calcular o tamanho do bot, o que a deixa muito mais discreta.”

Nas duas semanas que se passaram desde a publicação do relatório de Geenens, o site da San Calvicie saiu do ar: ao buscar por SanCalvicie.com, você acaba sendo redirecionado para outro site hospedado pela empresa de segurança na internet Cloudflare. Esta, por sua vez, não respondeu às nossas tentativas de contato.

Leia mais matérias de ciência e tecnologia no canal MOTHERBOARD .
Siga o Motherboard Brasil no Facebook e no Twitter .
Siga a VICE Brasil no Facebook , Twitter e Instagram .