Ataque comprometeu 4,5 milhões de modems no Brasil

A Kaspersky divulgou nesta semana detalhes sobre um ataque que começou no Brasil em 2011 e infectou mais de 4,5 milhões de modems ADSL usando 40 servidores maliciosos de DNS para roubar dados de usuÁrios de internet banking de forma massiva e silenciosa.

Diferente dos ataques comuns, que têm como objetivo atacar o PC, este se dedicava a infectar e alterar as configurações dos modems domésticos desatualizados por meio de uma vulnerabilidade presente no firmware dos equipamentos.

Aparentemente, segundo a Kaspersky, a falha não estÁ relacionada a um modelo ou fabricante específico, mas sim ao driver do chipset que executa as principais funções do equipamento e é comprado por fabricantes de modems domésticos. Todos os dispositivos afetados têm em comum um chipset Broadcom, inclusive em modems aprovados pela Agência Nacional de Telecomunicações (Anatel) do governo brasileiro. Curiosamente, nem todos os dispositivos que usam esse chip apresentam a falha.

Conforme a empresa, a eficÁcia e tempo prolongado de atuação do ataque justificam-se pela negligência generalizada dos fabricantes do hardware e provedores de internet e por falta de conhecimento técnico por parte dos proprietÁrios, que uma vez que instalam o modem, não se preocupam com a aplicação de atualizações de firmware fornecidos pelos fabricantes. A situação se agrava pelo fato de que, mesmo sem a vulnerabilidade, diversos modems são comercializados com senhas padrões e os usuÁrios muitas vezes não as alteram.

Dinheiro e prostitutas
Para executar o ataque, é preciso explorar uma única falha nos modems. FÁbio Assolini, analista da Kaspersky, alerta que, mesmo com uma senha forte, a vulnerabilidade permite que o invasor acesse o painel de controle do dispositivo, encontre a senha, faça o login no modem e mude suas configurações. Ao acessar o modem, o cibercriminoso altera a configuração do sistema de nomes de domínio (DNS) e muda a senha para impedir que o proprietÁrio possa remover as alterações feitas no equipamento.

Exemplo de DNS alterado no painel de um modem invadido / Imagem: Kaspersky

A vítima, com o modem comprometido, recebe uma solicitação para instalar um plugin quando tenta acessar pÁginas conhecidas e de confiança. “O principal objetivo dos invasores, como sempre é o caso no cibercrime brasileiro, é roubar credenciais bancÁrias das vítimas”, explica Assolini. Para isso, eles “direcionam as vítimas para pÁginas falsas de bancos ou promovem a instalação de malware ao criar cópias de sites populares, como o Google, o Facebook e o Orkut.”

PÁginas aparentemente seguras pedindo a instalação de plugins maliciosos / Imagens: Kaspersky e Sophops

Assolini falou sobre o assunto durante a conferência Virus Bulletin, que ocorreu em Dallas, nos Estados Unidos, no final de setembro. Em sua apresentação, como relata o blog da Sophos, o especialista mostrou um bate-papo virtual entre alguns dos cibercriminosos envolvidos no ataque. Um deles descreveu como um outro invasor ganhou mais de R$100 mil reais com o golpe e iria gastar a quantia ilícita em viagens para o Rio de Janeiro na companhia de prostitutas.

Manipulação de DNS
Para concluir o golpe, os criminosos brasileiros registraram 40 servidores DNS maliciosos em diferentes serviços de hospedagem (quase todos fora do Brasil), que eram configurados como DNS primÁrio. Como endereço alternativo, eles mantinham o servidor secundÁrio do provedor de internet ou DNS público do Google. Assim, os atacantes poderiam controlar o trÁfego e manter a discrição do ataque, pois os DNSs maliciosos eram ativados apenas em alguns momentos de cada dia, em horÁrios específicos.

O ataque ainda estÁ ativo, mas o número de equipamentos comprometidos caiu bastante. Em março de 2012, o CERT.br havia registrado um total de 300 mil modems infectados.