Rede botnets: o ataque dos computadores zumbis

Um cracker espalha um malware pela Internet, que se instala em alguns computadores, se reproduz como um vírus real e injeta seu "código viral" em milhares de sistemas, sem que suas vítimas percebam. E, com isso, o que enche é a conta bancÁria do criador da praga.

A história poderia dar origem ao roteiro de um longa-metragem recheado das mais absurdas as referências à cibercultura, mas estÁ acontecendo de verdade, movimentando verdadeiras fortunas. Isso é possível graças à ação das botnets.

{break::Um pouco de história}Botnets podem ser definidas como redes de computadores bots (robôs), também conhecidos como zumbis. Ou seja, mÁquinas contaminadas com programas maliciosos que podem ser controladas remotamente sem o consentimento do usuÁrio. Com isso, cibercriminosos podem criar uma rede poderosa com milhares de computadores com custo nulo ou baixo, basta fazer o download de um dos vÁrios kits para criação de botnets disponíveis na Internet. E, é claro, lançar mão de muita criatividade para "convencer" as vítimas a submeter seus sistemas, através de tÁticas de engenharia social. 

Os bots surgiram sem fins maliciosos no final dos anos 80, logo após a invenção do IRC (Internet Relay Chat), protocolo de bate-papo e troca de arquivos, que foi o principal meio de comunicação via mensagens instantâneas na web durante a década de 90 e início dos anos 2000, antes da popularização do MSN Messenger e de redes sociais como o Orkut e o Twitter. Na época, os bots serviam para permanecer em um canal do IRC e realizar algumas ações enquanto seu dono estava ocupado ou longe do computador.

O primeiro bot jÁ criado foi o GM, desenvolvido em 1989 por Greg Lindahl, com a única função de jogar "Hunt the Wumpus", game baseado em texto com o objetivo de explorar um labirinto, com os usuÁrios do canal.


Imagem: jfc.org.uk

Depois, surgiram vÁrios outros bots como forma de prevenir que os canais fossem roubados na ausência do dono. Quem foi frequentador assíduo de canais de bate-papo via IRC deve se lembrar desses bots, que apareciam como um usuÁrio comum e respondiam a certos comandos, como solicitação de data e hora, por exemplo. Eles também podiam expulsar do canal pessoas que infringiam as suas regras, bem como "responder" aos usuÁrios com certas frases pré-programadas.


Imagem: Wikipedia

Não demorou muito para que crackers percebessem o potencial desses robôs para executar ações maliciosas. Os bots evoluíram suas funções, passando a atender não apenas um usuÁrio (o seu criador), como toda uma comunidade. Entre 1999 e 2000, surgiram vÁrias ameaças que exploravam vulnerabilidades do IRC, em especial do cliente mIRC, que trazia duas características fundamentais para o desenvolvimento das botnets: a capacidade de rodar scripts em resposta a ações no servidor IRC e a possibilidade de realizar conexões através das portas TCP e UDP.

O título de primeira botnet baseada em um cliente IRC é comumente associado ao GTBot (Global Threat Bot), criado no início dos anos 2000. Trata-se, basicamente, de um cliente mIRC modificado, rodando em modo invísivel para passar despercebido pela vítima, que se espalhou disfarçado de um software utilitÁrio para limpeza dos arquivos do PC. Uma vez instalado, o cavalo-de-troia abre o cliente mIRC invisível e entra em um canal determinado, onde permanece aguardando as instruções do cracker.

- Continua após a publicidade -

Um passo significativo para a disseminação das botnets foi dado em 2002, por um programador russo conhecido como "sd". Ele foi o responsÁvel não só pela criação do SDBot, baseado na linguagem de programação C++, como pela liberação do seu código-fonte na web, bem como por fornecer seu e-mail e número do ICQ para contato. Assim, esse bot tornou-se plenamente acessível para usuÁrios mal intencionados e, como consequência, ainda hoje muitos bots incluem partes do código ou conceitos do SDBot original.

{break::Spams e Privacidade bancÁria ameaçada}A rede zumbi Zeus é uma das mais conhecidas e disseminadas no mundo todo. No Reino Unido, clientes de um dos seus maiores bancos são vítimas de cibercrimes através dessa botnet. A empresa de segurança M86 descobriu o ataque e calculou mais de três mil vítimas com as contas bancÁrias roubadas. Pouco a pouco, em uma tentativa de não levantar suspeitas, o rombo jÁ ultrapassa os US$1.077.000.

Mas existe um detalhe: não se deve falar em uma botnet Zeus, mas sim vÁrias delas. Existem inúmeras redes diferentes controladas por diversas variantes, todas originÁrias do malware ZBot.

O Zbot é um malware do tipo cavalo-de-troia especializado em roubar credenciais de internet banking através da captura das teclas digitadas pelo usuÁrio. Foi identificado pela primeira vez em julho de 2007 e, em 2009, estimava-se que jÁ havia infectado 3,6 milhões de computadores apenas nos Estados Unidos. E a atividade das botnets comandadas por essse malware continua.

Em fevereiro deste ano, cibercriminosos conseguiram obter dados privados, como senhas, de pelo menos dez instituições financeiras americanas, em uma operação que envolveu mais de 74 mil PCs infectados. E a ameaça é perigosa e sorrateira, passando despercebida por 55% dos sistemas com antivírus atualizados, segundo pesquisa da companhia de segurança Trusteer. Em 2009, a estimativa era de que um a cada 100 computadores estava infectado com alguma variante do ZBot.

Além do roubo de credenciais bancÁrias e de desvio de dinheiro, as botnets ainda apresentam outra função: a de espalhar spam. De acordo com estatísticas do mês de agosto da M86 Security, o trÁfego de spam representa 90,4% de todo o volume de e-mails enviados no mundo. Em média, 84% dessas mensagens indesejadas são enviadas através de botnets, como indica o relatório de agosto do Message Labs da Symantec.

Entre as botnets mais atuantes nesse ramo, estão a Rustock na liderança, com 40,99% de todo o volume de spam, seguida por Grum, Cutwail, Mega-D, Lethic, Storm e Bobax. O Brasil aparece entre os países que mais enviam spam através de redes zumbis, "enfrentando" o espaço com Vietman e Reino Unido, com índices que variam de 4% a 8% aproximadamente. Os líderes absolutos são os Estados Unidos, com aproximadamente 15% e Índia, com 7%, conforme a M86 Security.

{break::Liberte sua mÁquina}Como os malwares responsÁveis por transformar os computadores em "zumbis" se propagam automaticamente através de brechas de segurança, a melhor forma de se proteger é manter o sistema operacional e todos os seus programas sempre atualizados.

Manter um antivírus, também sempre em dia com as atualizações, é importante, mas nem sempre consegue fazer o trabalho sozinho. Um firewall também pode ajudar, uma vez que pode conseguir bloquear a comunicação entre o invasor e o bot instalado no computador, embora não seja capaz de remover o malware.

- Continua após a publicidade -


O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) disponibiliza uma cartilha completa sobre prevenção aos riscos da Internet. Recentemente, o Adrenaline ainda publicou uma lista de dez indícios que podem revelar que um PC estÁ sendo controlado por um bot, ou seja, algumas pistas que podem ajudar o usuÁrio a "desconfiar" do seu sistema. 

E prevenir ou barrar a ação de malwares, neste caso, torna-se ainda mais importante. Um bot não só pode incomodar o usuÁrio do PC em que estÁ instalado, como ainda torna a mÁquina parte de um sistema muito maior, capaz de causar danos a centenas ou milhares de outras pessoas.

Assuntos
Tags
  • Redator: Redação

    Redação

Escolha sua arma:

O que você achou deste conteúdo? Deixe seu comentário abaixo e interaja com nossa equipe. Caso queira sugerir alguma pauta, entre em contato através deste formulário.