No final de julho, o pesquisador Ankit Anubhav publicou um tweet dizendo que mais de 3200 roteadores indexados no Shodan, estavam expondo suas senhas da conexão wireless. A maioria desses equipamentos estaria instalada no Brasil.
O time de Threat Intelligence da Tempest investigou o caso e identificou que o grupo de equipamentos citados por Anubhav era formado por diversos modelos de roteadores da fabricante brasileira Intelbras e que a exposição dessas credenciais de acesso se deve a uma vulnerabilidade publicada em 2015, a qual permite que um atacante burle o sistema de autenticação do equipamento e tenha acesso à sua página de administração, podendo alterar qualquer configuração do dispositivo.
Analisamos cerca de 2300 roteadores indexados no Shodan com a interface administrativa aberta para a Internet. Identificamos que, além de expor as credenciais da conexão Wireless, vários desses equipamentos já tinham passado por alterações em suas configurações de DNS, as quais redirecionam o tráfego com destino a bancos e lojas de e-commerce para sites falsos sob o controle do atacante.
Essa modalidade de ataque é chamada de DNS Pharming e consiste em modificar o sistema de resolução de nomes da vítima fazendo com que requisições para URLs de interesse do atacante, por exemplo www[.]banco[.]com[.]br, sejam enviadas para servidores DNS maliciosos que, por sua vez, redirecionam a requisição do usuário para cópias do site original feitas para persuadi-lo a digitar seus dados sensíveis — como contas, dados de cartão, senhas, entre outros — no site do atacante. Como a mudança é feita no roteador da vítima, todos os usuários da rede podem ser afetados.
Esse não é um tipo de ataque novo. No passado, acompanhamos violações dessa natureza e comprovamos que os principais alvos costumavam ser servidores DNS de provedores de Internet ou os próprios computadores das vítimas. Entretanto, com a evolução da tecnologia e dos processos de segurança, os ataques contra provedores de acesso passaram a se tornar mais difíceis e raros. Já os contra computadores dependem de outros fatores, como a adoção de um malware que automatize a infecção, a disseminação do ataque e burle os antivírus.
Entretanto, explorar roteadores vulneráveis, sobretudo aqueles com vulnerabilidades publicadas e ativas há anos, torna o ataque muito mais fácil e eficaz pois, além de atingir todos os usuários conectados naquele dispositivo, a atividade de atualizar o firmware dos roteadores, quando há atualizações, não é comum. Isso porque muitos que compram roteadores para acessar a internet não acompanham o lançamento de novas versões de software ou não sabem que esse tipo de comportamento é necessário.
Campanhas desse tipo vêm sendo reportadas com mais frequência, e recentemente a empresa Radware identificou uma campanha de infecção similar, porém afetando dispositivos da DLink.
Os dispositivos que analisamos estavam configurados com 42 servidores DNS diferentes. Entre estes, 8 deles estavam redirecionando conexões para sites falsos. Dois deles nos chamaram a atenção pela quantidade de dispositivos infectados: o servidor 145[.]249[.]106[.]12, presente nas configurações de mais de 140 roteadores e o 80[.]82[.]67[.]14 configurado em mais de 50 dispositivos.
Uma característica interessante destas campanhas, é que os atores estão utilizando servidores diferentes para hospedar os serviços de DNS e o servidor Web. Desta maneira, se as páginas falsas forem denunciadas é extremamente simples para o atacante “apontar” o destino da URL para outro servidor.
Baseando-se em nossa experiência em Takedown — atividade que solicita e acompanha a retirada de conteúdo malicioso na Internet — constatamos que esta técnica é bastante eficaz, pois é mais difícil de se comprovar o comportamento malicioso em servidores DNS do que em servidores Web.
Temos notado outras técnicas para dificultar a identificação de servidores DNS maliciosos, como por exemplo, restrições de IP que limitam as conexões de origem a apenas países que sejam de interesse do atacante ou a configuração do servidor DNS para redirecionar requisições para páginas falsas apenas em horários específicos.
Para evitar este tipo de ataque, recomendamos manter todos os dispositivos de rede com sua versão de firmware atualizada, conferir periodicamente quais servidores DNS estão ativos em sua conexão (há serviços que facilitam esta verificação como o http://www[.]whatsmydnsserver[.]com/) e sempre checar com atenção os dados do certificado digital do website visitado.
IOCs
Servidores DNS Maliciosos:
139.60.162.188
142.4.196.213
145.249.106.12
167.114.54.202
192.3.6.18
192.3.190.114
192.3.6.18
80.82.67.14
Servidores Web
193.70.95.89
200.98.162.85
142.93.121.60
200.98.162.85
170.254.236.148
145.249.104.234