Há exatamente um ano, o FBI emitiu um alerta de alta gravidade para todas as pequenas empresas e usuários domésticos: reiniciem seus roteadores. Era a reação oficial à descoberta de pelo menos meio milhão de dispositivos infectados que poderiam ser permanentemente danificados a qualquer momento.
Passado um ano do incidente, o que mudou no cenário dos roteadores domésticos e sua segurança? Especialistas da área revelam que quase nada foi feito para mitigar essa ameaça enquanto os cibercriminosos aprimoram suas ferramentas, ampliam seu alcance e abrem o leque dos danos que podem ser causados.
Ameaça de ontem
Aqueles que não entendem o passado estão condenados a repeti-lo e o melhor estudo de caso da sombra que paira hoje sobre a maioria dos roteadores é o ataque do VPNFilter em Maio de 2018.
Um relatório publicado pelos pesquisadores da divisão Talos Intelligence da Cisco apontou que 500.000 roteadores de diferentes fabricantes estavam comprometidos pelo malware supostamente criado por hackers estatais russos. Dispositivos produzidos pela Linksys, Mikroptik, Netgear e TP Link estavam na lista dos afetados pelo VPNFilter. A partir da infecção, o céu era o limite para seus operadores.
De acordo com a Cisco, a epidemia iniciou-se em dispositivos na Ucrânia, adversária geopolítica da Rússia na região. Assim como em ataques cibernéticos anteriores, igualmente precisos e devastadores, o governo ucraniano acusou Moscou de orquestrar as operações. Assim como em ataques similares, a arma eletrônica caiu na mão do crime organizado e de hackers independentes e se alastrou pelo mundo.
Roteadores comprometidos poderiam interceptar dados para fins de espionagem ou fraude, assim como receber módulos adicionais por download de seus controladores. Por último, os dispositivos poderiam receber instruções para apagar em definitivo partes importantes de seu firmware, o que tornaria os roteadores inutilizáveis.
O FBI agiu rapidamente para conter os estragos que poderiam ser causados pelo malware. Ao instruir os usuários a reiniciarem seus aparelhos, era possível remover os componentes de Fase 2 e Fase 3 do VPNFilter e evitar a autodestruição. Entretanto, seus controladores ainda seriam capazes de reinstalar esses componentes, uma vez que a Fase do vírus era persistente e sobrevivia ao reboot. Era necessário neutralizar a central de comando e controle e foi isso o que o FBI fez ao apreender o domínio de internet de onde partiam os comandos.
De acordo com o Agente Especial do FBI no Comando da operação Bob Johnson, “o FBI não permitirá que atores cibernéticos mal-intencionados, independentemente de serem patrocinados pelo Estado, operem livremente. Esses hackers estão explorando vulnerabilidades e colocando em risco a segurança de privacidade e de rede de todos os americanos”.
Apesar das medidas adotadas, o FBI recomendou que os usuários de roteadores, mesmo aqueles de outros fabricantes não listados, “considerem desabilitar configurações de gerenciamento remoto nos dispositivos e protegê-los com senhas fortes e encriptação quando habilitada. Dispositivos de rede devem ser atualizados para a última versão disponível do firmware“.
Segundo a Symantec, “muitos dos dispositivos afetados eram conhecidos por utilizar credenciais padrões e/ou possuírem vulnerabilidades conhecidas, particularmente para versões antigas”. A empresa lançou uma ferramenta online que permite verificar em segundos os sinais de infecção pelo malware: VPNFilter Check.
O vetor inicial do VPNFilter foi o bom e velho e-mail de phishing, destinado ironicamente para participantes de uma conferência de segurança.
Ameaça de hoje
Se especialistas em segurança podem ser infectados por um e-mail de phishing, por um malware que explora credenciais fracas e vulnerabilidades já conhecidas, o que esperar do usuário comum? Se um ataque que deveria ser focado e restrito se espalhou para mais de meio milhão de dispositivos, o que podemos esperar quando a mesma tática é automatizada e distribuída em larga escala desde sua concepção? Segundo profissionais da área, 2019 é o ano dos roteadores comprometidos.
Um levantamento da Avast para o ano (PDF) dá o sinal de alerta: “mesmo após os problemas do VPNFilter, 60% dos usuários domésticos nunca atualizaram o firmware de seus roteadores, deixando-os expostos a brechas de segurança de conhecimento público. Com a maioria dos roteadores deixados à mercê, o volume de aparelhos que já podem estar comprometidos é alarmante.
Outro fator de risco levantado por especialistas é o descaso inicial dos próprios fabricantes que estabelecem senhas fracas de fábrica que nunca são alteradas pelo usuário desinformado. Essas senhas podem ser únicas para uma linha inteira de modelos ou tão simples que não resistem a um ataque de força bruta.
A partir desses dois fatores, cibercriminosos estão programando botnets para vasculhar e infectar roteadores e dispositivos de Internet das Coisas, aumentando sua legião de máquinas e facilitando sua própria expansão exponencialmente.
Além das capacidades apresentadas pelo VPNFilter, novas gerações de malware são capazes também de recrutar roteadores comprometidos para ataques DDoS ou para mineração de criptomoedas para seus controladores. Com a possibilidade de adicionar módulos on demand e funções pela internet e com uma segurança tão baixa, o roteador se torna um alvo extremamente desejável.
Para a vítima, entretanto, um roteador infectado pode ser ainda mais perigoso que um PC ou dispositivo móvel contaminado. A Avast aponta que roteadores sequestrados podem furtar credenciais bancárias injetando conteúdo em páginas web de uma forma imperceptível para o sistema operacional ou instruir o usuário a instalar aplicativos ou programas com propósitos maliciosos.
Ondrej Vleek, Presidente de Consumo da Avast, é categórico em seu aviso: “as pessoas estão adquirindo cada vez mais e mais variados tipos de dispositivos conectados, fazendo com que cada aspecto de nossas vidas possa ser comprometido por um ataque. Olhando para frente em 2019, essas tendências apontam para uma amplificação das ameaças através dessas superfícies de risco em expansão”.
As recomendações do FBI para ameaças que podem comprometer roteadores (assim como outros dispositivos conectados) permanecem valendo para todos os usuários:
- Reinicie os dispositivos regularmente, pois a maioria dos malwares é armazenada na memória e removida na reinicialização do dispositivo. É importante fazer isso regularmente, pois muitos atores competem pelo mesmo volume de dispositivos e usam scripts automatizados para identificar vulnerabilidades e infectar dispositivos.
- Altere nomes de usuários e senhas padrão.
- Use o antivírus regularmente e verifique se está atualizado.
- Verifique se todos os dispositivos IoT estão atualizados e se os patches de segurança estão incorporados.
- Configure firewalls de rede para bloquear o tráfego de endereços IP não autorizados e desabilitar o encaminhamento de porta.
- Isole dispositivos IoT de outras conexões de rede.