Image default
Security

Backdoor malicioso para router Cisco é encontrado em mais de 79 dispositivos

Esta descoberta vem de uma equipe de cientistas da computação que sondaram um intervalo inteiro de endereços IPv4 para os dispositivos infectados. Conforme o pessoal da ArsTechnica informou na terça, 15/09, a modificação do firmware do router, chamada de SYNful Knock, é ativada após receber uma sequência incomum de pacotes fora do padrão, seguido de uma senha codificada. Após enviar apenas os pacotes TCP fora de sequência, mas não a senha para cada endereço de Internet e monitorando a resposta, os pesquisadores conseguiram identificar quais foram os dispositivos infectados pelo backdoor.

A empresa de segurança FireEye surpreendeu o mundo de segurança quando relatou o primeiro surto ativo de SYNful Knock. O implante é precisamente do mesmo tamanho da imagem legítima utilizada no roteador Cisco, e é carregado a cada vez que o dispositivo é reiniciado. Ele suporta até 100 módulos onde os invadores podem adequar conforme o alvo a ser atacado. A empresa FireEye os encontrou em 14 servidores da Índia, México, Filipinas e Ucrânia. A descoberta foi significativa, porque mostrou que um ataque existindo apenas em teoria, ocorreu de fato. A nova pesquisa mostra que o backdoor está sendo utilizado amplamente, e têm sido encontrado também em países como os EUA, Canadá, Reino Unido, Alemanha e China. Os pesquisadores escreveram:

Somos capazes de fazer uma varredura em servidores infectados sem invocar a vulnerabilidade, modificando o zMAP para enviar os pacotes TCP SYN especialmente criados. Completamos quatro varreduras num intervalo de endereços públicos IPv4 em 15/09 e encontramos 70 dispositivos exibindo um comportamento estranho causado pelo implante SYNful Knock. Estes roteadores pertencem a uma variedade de empresas localizadas em 19 países. Não temos encontrado nenhum padrão imediato nas organizações afetadas, mas observamos um número surpreendente de roteadores infectados localizados na África e Ásia. Notamos que 25 hosts nos EUA pertencem a um único ISP localizado na Costa Leste, e os demais equipamentos localizados na Alemanha e Líbano pertencem a um provedor de conexão via Satélite que oferece cobertura para a África.

Confira no gráfico abaixo o resultado resumido dos países infectados:

Infecções SYNful Knock
Países infectados / Fonte: Ars Technica

Os pesquisadores conduziram quatro varreduras na terça-feira e utilizaram um scanner de Internet conhecido como zMAP. Após configurá-lo para enviar cada pacote de endereços com o número definido para 0xC123D e o número de confirmação para 0, eles monitoraram as respostas onde o número de sequência está definido para 0, a flag de urgente é desativada e o ponteiro de urgente definido para 0x0001.

“Nós não podemos responder com um pacote ACK, e em vez disso enviamos um sinal de RST, para fechar a conexão. Isso não explora a vulnerabilidade, nem tenta um login, ou complementa o processo de handshake (TCP)”, disseram os pesquisadores. “No entanto, isso nos permite diferenciar quais são os roteadores comprometidos, uma vez que o dispositivo não comprometido não deve definir o ponteiro ”urgente”, tendo apenas uma chance de 1 em 232 para selecionar 0 como o número de sequência”.

O que está claro até o momento é que o SYNful Knock é uma backdoor desenvolvida profissionalmente, e que está infectando de forma ativa muito mais dispositivos do que o observado anteriormente pela FireEye. É plausível que alguns dos roteadores comprometidos identificados pelos pesquisadores serem honeypots, isto é, roteadores infectados intencionalmente por pesquisadores whitehat que estão à procura de pistas sobre que está por trás dos ataques e como operam. Ainda assim, parece pouco provável que todos os 79 dispositivos sejam chamarizes. O blog Arstechnica pediu aos funcionários da FireEye que comentem sobre esta possibilidade. Iremos atualizar este post caso o blog receba alguma resposta.

Como a FireEye noticiou na terça-feira, ainda não existem muitas evidências sobre se o SYNful Knock está explorando vulnerabilidades em qualquer dispositivo Cisco. Em vez disso, os atacantes desconhecidos por trás do backdoor – dizem executivos da FireEye – são provavelmente patrocinados por algum governo, que parece estar se aproveitando de roteadores que utilizam senhas padrão de fábrica, ou são conhecidos de alguma outra maneira.

Os pesquisadores disseram que não seria surpresa se equipamentos de rede de outros fabricantes forem atacados por backdoor similar. Até o momento, não existem evidência se isto aconteceu, mas com ferramentas de scan adicionais, os pesquisadores podem encontrar dados que comprovem se a teoria está correta.

Fonte: Ars Technica

Posts similares

WikiLeaks divulga nova ferramenta da CIA

O Analista

WhatsApp e o mito por trás das conversas criptografadas

O Analista

Malware é disseminado como correção para o bug Meltdown e Spectre

O Analista