A Arte da Omissao

ACORDEM

Está a chegar uma nova rede botnet de equipamentos da Internet das coisas (IoT)

«´Cyber furacão´ pronto a atacar como malware e que poderá infectar milhões de dispositivos por todo o mundo

Links dentro de «» e realces desta cor são da minha responsabilidade

https://research.checkpoint.com/wp-content/uploads/2017/08/Nigerian-ID-Post-Image-1021x450.jpg

 

  • O que é um botnet?

O termo bot é a abreviação de robot. A distribuição de um software mal-intencionado (também conhecido como malware) pode transformar o seu equipamento que se liga à internet num bot (também conhecido como zumbi). Quando isso ocorre, o equipamento infectado pode executar tarefas automáticas via Internet sem que o saiba. Os bots costumam ser usados por criminoso com o fim de infectar grandes quantidades de equipamentos que se ligam à internet. As botnets (rede de bots) são usadas  para  enviar mensagens de spam, disseminar vírus, atacar computadores e servidores e cometer outros tipos de crimes e fraudes.

A New IoT Botnet Storm is Coming – 19 de Outubro de 2017

Está a chegar uma nova rede botnet de equipamentos da Internet das coisas (IoT)

Pontos chave:

* Uma botnet maciça está ser formanda para criar uma ciber tempestade, a qual poderá derrubar a internet.
* Estimam-se que já foram infectadas cerca de milhões de organizações.
A botnet está a recrutar dispositivos da internet das coisas (IoT) como câmaras IP WiFi, com o fim de realizar o ataque.

Estão a formar-se novas nuvens de cyber tempestades. O Check Point Researchers descobriram uma nova botnet, denominada de ‘IoTroop‘, que está a evoluir e a recrutar dispositivos IoT a um ritmo muito maior e com mais danos potenciais que a botnet Mirai de 2016.

Botnets de IoT’s, redes de dispositivos inteligentes ligados à Internet, infectados pelo mesmo malware e que estão controlados por um actor  a partir de um local remoto. Eles estão por trás de alguns dos ataques criminosos mais prejudiciais contra organizações de todo o mundo, incluindo hospitais, ligações de transportes nacionais, empresas de comunicação e movimentos políticos.

Embora alguns aspectos técnicos nos levem a suspeitar de uma possível ligação com a Mirai, esta é uma campanha inteiramente nova e muito mais sofisticada, e  que se está a espalhar rapidamente por todo o mundo. É muito cedo para adivinhar as intenções dos actores da ameaça, mas com os ataques anteriores do Botnet DDoS que essencialmente derrubou a Internet, é vital que as organizações façam preparativos adequados e os mecanismos de defesa sejam postos em prática antes do ataque ocorrer.

Os sinais sinistros foram capturados pela primeira vez nos últimos dias de Setembro, através do Sistema de Prevenção de Intrusões do Check Point (IPS).  Um número crescente de tentativas foram já feitas por hackers para explorarem uma combinação de vulnerabilidades encontradas em vários dispositivos IoT. (Espectável.  Como há muito digo, interessa é vender. Os testes de segurança são tarefas para os utilizadores / e sistemas de analises,  que seguem esta onda desgovernada da internet das coisas. Desgovernada  sim, porque não têm faltado exemplos da existência  de vulnerabilidades que foram exploradas para fins “ocultos”. O maior exemplo partiu da NSA. Há muito pouco tempo se descobriram graves vulnerabilidades em dispositivos com ligações bluetooth e no protocolo WPA2 usado nas redes sem fio. E os fabricantes, só depois de alguém fazer os testes de seguranças por eles, é que enviam para o mercado as possíveis correcções. Só que entretanto, essas vulnerabilidades já foram exploradas há muito tempo por hackers… Ndt)

A cada dia que passa, o malware evoluiu para explorar um número crescente de vulnerabilidades de  dispositivos de câmaras IP WHIFI, como GoAhead, D-Link, TP-Link, AVTECH, NETGEAR, MikroTik, Linksys, Synology e outros. Rapidamente tornou-se evidente que os ataques tentados eram provenientes de várias fontes diferentes e de uma variedade de dispositivos IoT, o que significa que o ataque está a ser  espalhado pelos próprios dispositivos IoT.

Tendência

https://research.checkpoint.com/wp-content/uploads/2017/10/IoT-Botnet-Trend-of-Attacking-IP-Addresses.png

Até agora, estimamos que mais de um milhão de organizações já foram afectadas em todo o mundo, incluindo os EUA, Austrália e, em todos os lugares o número está apenas a aumentar.

A nossa pesquisa sugere que agora estamos a viver a calmaria que antecede a tempestade ainda mais poderosa. O próximo furacão cibernético está a chegar.

Antecedentes da pesquisa

Criar redes de dispositivos infectados não é uma tarefa rápida para um agressor. Para estabelecer uma Botnet efectiva, é preciso controlar uma grande quantidade de dispositivos. A forma de envio do código malicioso para cada dispositivo individualmente, é uma tarefa grande e demorada. É muito mais fácil ter cada dispositivo infectado a espalhar o código malicioso para outros dispositivos semelhantes. Este método de ataque é considerado um ataque de propagação e é essencial para rapidamente se criar uma grande rede de dispositivos controlados.

A nossa pesquisa começou no final de Setembro de 2017, depois de percebermos um aumento das tentativas de penetração nas nossas protecções dos nossos IoT que usam a tecnologia Indoor Positioning Systems (Sistema de Posicionamento Interno, como serviços de localização dentro de centros comerciais, localização social, etc- Ndt). Logo logo percebemos que estávamos a testemunhar a estágios de recrutamento de uma vasta botnet de equipamentos IoT.

Analise de um nó da cadeia

Com a aplicação Check Point Global Threat Map a mostrar uma grande quantidade de golpes nas nossas protecções dos nossos IoT IPS, a nossa equipe começou a analisar algumas das fontes dos ataques para obter uma imagem melhor do que estava a acontecer. Abaixo está uma análise a um desses dispositivos.

https://research.checkpoint.com/wp-content/uploads/2017/10/Go-Ahead-map.png

Ao olhar para este site, podemos concluir que o IP específico (ocultado em acima) pertence a uma câmara GoAhead com a porta 81 aberta que corre sobre TCP. Este é apenas um exemplo de um tipo de dispositivo infectado. Existem muitos outros –  Dispositivos D-Link, NETGEAR e TP-Link para citar alguns.

Numa inspecção adicional, acedemos ao arquivo system.ini (mostrado abaixo) do dispositivo neste IP, para verificar o compromisso. Numa máquina normal este arquivo conteria as credenciais do utilizador. No entanto, o que foi encontrado neste dispositivo foi uma versão editada com o comando ‘Netcat‘ que abriu uma shell reversa para o IP do ataque. Isto diz-nos que esta câmara GoAhead era apenas um link na cadeia, estava  infectada e depois transmitia a infecção. Neste caso, foi usada a vulnerabilidade “CVE-2017-8225” para penetrar no dispositivo GoAhead e, depois de infectar a máquina alvo, ela própria começou a procurar outros dispositivos para infectar. (a vulnerabilidade “CVE-2017-8225” refere que nas câmaras IP WiFi (P2P), o acesso aos arquivos.ini (que contêm  as credenciais) não está correctamente verificada. Um invasor pode passar por cima da autenticação fornecendo um parâmetro vazio de loginuse e loginpas no URI. (Identificador Uniforme de Recurso  – Ndt)

https://research.checkpoint.com/wp-content/uploads/2017/10/Infected-Targets.png

Após mais pesquisas, verificou-se que inúmeros dispositivos alvos passaram a espalhar a infecção. Esses ataques eram provenientes de vários tipos diferentes de dispositivos e de países muito diferentes, totalizando aproximadamente 60% das redes corporativas que fazem parte da rede global da ThreatCloud. (a maior rede de colaboração da indústria, na luta contra o ciber crime e que proporciona dados sobre as ameaças e tendências de ataques através de «uma rede mundial de sensores dedicados». A base de dados da Threatcloud conta com mais de 250 milhões de endereços analisados para a descoberta de bots, mais de 11 milhões de assinaturas de malwares e mais de 5,5 milhões de websites infectados, permitindo a identificação diária de milhões de tipos de malware  – Ndt.)

Para concluir, nos últimos dias, uma nova botnet está a  evoluir. Embora alguns aspectos técnicos nos levem a suspeitar de uma possível ligação com a botnet Mirai, esta é uma campanha inteiramente nova que se espalha rapidamente por todo o mundo. É muito cedo para avaliar as intenções dos actores da ameaça, mas é vital ter os preparativos adequados e os mecanismos de defesa em vigor antes de um ataque ocorrer.

Embora esta possa ser uma ameaça emergente de milhões de ataques que estão a ser realizados, os métodos de infecção já estão a controlados  pelo Intrusion Prevention System (IPS) do The Check Point.

As vulnerabilidade listadas estão a sob controlo controladas e os dispositivos estão actualmente a ser monitorizados por novas variantes.  A tabela abaixo descreve as protecções IoT lançadas pela IPS e que estão potencialmente relacionadas a este ataque.

Vendor Protection Name Seen in the Context of the current Attack?
GoAhead Wireless IP Camera (P2P) WIFICAM Cameras Information Disclosure +
Wireless IP Camera (P2P) WIFICAM Cameras Remote Code Execution +
D-Link D-Link 850L Router Remote Code Execution +
D-Link DIR800 Series Router Remote Code Execution +
D-Link DIR800 Series Router Information Disclosure +
D-Link 850L Router Remote Unauthenticated Information Disclosure +
D-Link 850L Router Cookie Overflow Remote Code Execution +
Dlink IP Camera Video Stream Authentication Bypass – Ver2 +
Dlink IP Camera Luminance Information Disclosure – Ver2D-Link DIR-600/300 Router Unauthenticated Remote Command Execution ++
Dlink IP Camera Authenticated Arbitrary Command Execution – Ver2
TP-Link TP-Link Wireless Lite N Access Point Directory Traversal
TP-LINK WR1043N Multiple Cross-Site Request Forgery
Netgear DGN Unauthenticated Command ExecutionNetgear ReadyNAS Remote Command Execution ++
NETGEAR Netgear DGN2200 dnslookup.cgi Command Injection
Netgear ProSAFE NMS300 fileUpload.do Arbitrary File Upload
NETGEAR Routers Authentication Bypass
NETGEAR ReadyNAS np_handler Code Execution
Netgear R7000 and R6400 cgi-bin Command Injection
AVTECH AVTECH Devices Multiple Vulnerabilities +
MikroTik MikroTik RouterOS SNMP Security Bypass
MikroTik RouterOS Admin Password Change
Mikrotik Router Remote Denial Of Service
Linksys Belkin Linksys WRT110 Remote Command Execution – Ver2
Linksys WRH54G HTTP Management Interface DoS Code Execution – Ver2
Belkin Linksys WRT110 Remote Command Execution
Belkin Linksys Multiple Products Directory Traversal
Belkin Linksys E1500/E2500 Remote Command Execution +
Cisco Linksys PlayerPT ActiveX Control Buffer Overflow
Cisco Linksys PlayerPT ActiveX Control SetSource sURL Argument Buffer Overflow
Synology Synology DiskStation Manager SLICEUPLOAD Code Execution
Linux Linux System Files Information Disclosure + 

Está a imaginar-se com equipamentos sujeitos a um ataque sistemático deste tipo?

O que dizer sobre os IoT’s relacionados com a saúde?

 

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão /  Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão /  Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão /  Alterar )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Informação

This entry was posted on 25 de Outubro de 2017 by in Internet das coisas and tagged , , , .

Navegação

Categorias

Follow A Arte da Omissao on WordPress.com
%d bloggers like this: