You are on page 1of 8

O conto dos 1001 modems ADSL | Kaspersky Lab Brasil

http://brazil.kaspersky.com/sobre-a-kaspersky/centro-de-imprensa/blog...

Brasil

Antivrus Online Grtis | Verses de Teste | Comprar Kaspersky

Pesquisa

PRODUTOS

LOJA ONLINE

INTERNET SECURITY CENTER


SEGURANA PARA PMES

DOWNLOADS

SUPORTE

PARCEIROS

SEGURANA PARA CASA

SEGURANA PARA EMPRESAS

Blog da Kaspersky
O conto dos 1001 modems ADSL
Por: Fabio Assolini Publicado: Tue, 10/02/2012 ShareThis (javascript:void(0)) Introduo Esta a descrio de um ataque que ocorre no Brasil desde 2011, usando 1 vulnerabilidade de firmware, 2 scripts maliciosos e 40 servidores maliciosos de DNS, que afetaram 6 fabricantes de dispositivos de rede, resultando em milhes de usurios de internet no Brasil sendo vtimas de um ataque massivo, silencioso e contnuo contra modems ADLS. Neste artigo iremos mostrar como cibercriminosos esto explorando uma vulnerabilidade que afeta milhares de modems ADSL desatualizados e em uso no pas. Essa falha permitiu que um ataque alterasse os dispositivos de rede pertencentes a milhes de usurios domsticos e corporativos, distribuindo malware e criando redirecionamentos maliciosos por um longo perodo. O cenrio composto ainda pela negligncia dos provedores de internet, fabricantes de hardware e usurios inocentes e desconhecedores do problema. Se voc achou que a limpeza de 500 mil computadores infectados com o malware DNS Changer (http://www.securelist.com/en/blog/208193491 um grande desafio, imagine o que lidar com 4.5 milhes de modems ADSL comprometidos nesse ataque todos localizados em terras tupiniquins. Uma vulnerabilidade de firmware Geralmente dispositivos de rede como modems e roteadores so esquecidos uma vez instalados e configurados, a maioria dos usurios e empresas no se preocupam em aplicar atualizaes de firmware disponibilizadas por alguns fabricantes. Mesmo a falha mais simples nesses dispositivos pode afetar milhares de usurios, que podem ser silenciosamente atacados e levados a instalarem malware em seus computadores, ou at mesmo visitarem pginas de phishing. Como j foi publicado (http://www.securelist.com/en/analysis /204792187/Heads_of_the_Hydra_Malware_for_Network_Devices) pela analista Marta Janus, modems ADSL so constantemente atacados por diferentes tipos de malware, geralmente baseados em Linux, ou atravs de ataques explorando falhas CSRF (Cross Site Request Forgery), falhas no UPnP ou SNMP, configuraes incorretas ou at mesmo um ataque mais complexo de drive-by-pharming. Surpreendemente, no apenas esse problema ignorado pelos usurios, mas tambm a comunidade segurana presta pouca ateno a isso. muito comum encontrarmos recomendaes sobre a importncia de se instalar todas as atualizaes no seu sistema operacional, mas poucas pessoas falam sobre a necessidade de atualizar o firmware de um modem ADSL. Sem muito barulho, uma vulnerabilidade (http://www.exploit-db.com/exploits/16275/) demonstrando uma falha em um modelo especfico de modem foi publicada em Maro de 2011 no site Exploit.db. A falha permite um acesso remoto ao modem ADSL. Ningum sabe exatamente quando os cibercriminosos brasileiros comearam a usar essa falha em ataques remotos. A falha permite um Cross Site Request Forgery (CSRF) no painel de administrao do modem ADSL, capturando a senha do dispositivo e permitindo a um cibercriminoso fazer mudanas maliciosas no dispositivo, geralmente alterando os servidores DNS.

/Update_to_DNSChanger_Cleaning_Up_4_Million_Infected_Hosts) foi

Exploit publicado em Maro de 2011 no site exploit-db.com Mesmo que voc tenha configurado uma boa senha no modem ADSL, a falha permite ao cibercriminoso ter acesso ao painl de controle, capturar a senha, logar no dispositivo e fazer as alteraes.

1 de 8

30/04/2014 09:52

O conto dos 1001 modems ADSL | Kaspersky Lab Brasil

http://brazil.kaspersky.com/sobre-a-kaspersky/centro-de-imprensa/blog...

Painel de administrao de um modem vulnervel, acessado remotamente Parece que o problema no est relacionado a um modelo ou fabricante especfico, mas sim est relacionado ao driver do chipset usado nos equipamentos e comprados pelos fabricantes. Todos os dispositivos afetados tem um comum um chipset da Broadcom, usado por diversos fabricantes, incluindo modems aprovados pela ANATEL, vendidos por todo o pas. Interessante notar que nem todos os dispositivos usando chip da Broadcom so afetados pelo problema, no h dados precisos sobre verses e equipamentos afetados. Isso depende de informao dos fabricantes.

Painel de Administrao de um modem comprometido, observe o DNS malicioso configurado Dois scripts maliciosos O ataque muito simles. Criminosos escaneiam a internet em busca de modems expostos na rede. O atacante ento usa dois scripts em bash que sero executados em um servidor dedicado comprado exclusivamente para esse propsito. Uma larga extenso de endereos IPs testada e escaneada pelo script. Sempre que um modem encontrado, o exploit ento executado contra a alvo.

2 de 8

30/04/2014 09:52

O conto dos 1001 modems ADSL | Kaspersky Lab Brasil

http://brazil.kaspersky.com/sobre-a-kaspersky/centro-de-imprensa/blog...

Script usado no ataque Depois de acessado, um outro script chamado roda.sh ir executar e alterar o modem. A vulnerabilidade revela a senha configurada no dispositivo. Capturando-a, o script acessa as configuraes, muda os servidores DNS e muda a senha do dispositivo, impedindo que o usurio/dono do modem venha a acess-lo depois.

Script usado para alterar o servidor DNS e a senha do dispositivo Entre as senhas configuradas nos modems atacados esto "dn5ch4ng3", "ch4ng3dn5" e outras variantes. Para automatizar o ataque, os criminosos determinaram uma larga extenso de nmeros IPs para serem verificados automaticamente pelos scripts:

3 de 8

30/04/2014 09:52

O conto dos 1001 modems ADSL | Kaspersky Lab Brasil

http://brazil.kaspersky.com/sobre-a-kaspersky/centro-de-imprensa/blog...

Parte de uma lista de IPs para serem verificados pelo script de ataque 6 fabricantes afetados Temos registrado seis diferentes fabricantes de modems afetados pelos ataques. Cinco deles so amplamente conhecidos e vendidos no Brasil, alguns deles sendo lideres de mercado todos esto cientes do problema. A situao complicada pelo fato de que, mesmo sem a vulnerabilidade, esses modems so comercializados e usados com senhas padro que so conhecidas publicamente e geralmente os usurios no as muda. Outros modelos so configurados com contas de acesso remoto para acesso dos servios de suporte dos provedores de internet, e estas credenciais de acesso so conhecidas dos criminosos. Alm disso, alguns fabricantes so negligentes para resolver o problema depois de avisados. Isso deixa seus usurios expostos a ataques, visto que alguns fabricantes so lentos em disponibilizar uma atualizao de firmware que pode resolver o problema. A ANATEL, Agencia Nacional de Telecomunicaes a autoridade no pas que testa dispositivos de rede antes deles serem aprovados, vendidos e usados pelos provedores de internet. Porm, esses testes se limitam apenas a verificar funcionalidades bsicas do dispositivo, no verificando problemas de segurana. Isso permite que provedores de internet ofeream aos seus clientes modems antigos e vulnerveis. Ataques ocorreram nos principais provedores de internet brasileiros. A mdia de clientes de cada um de 3 a 4 milhes. Sabemos de pequenos provedores em que 50% da base de clientes foi afetada.

Maiores provedores de internet no Brasil, de acordo como Teleco.com.br A negligncia dos fabricantes, a negligncia dos provedores de internet e a ignorncia das agncias governamentais criaram uma tempestade perfeita, permitindo aos cibercriminosos atacar livremente. 40 servidores de DNS maliciosos Para tornar o ataque operativo, os cibercriminosos brasileiros registraram 40 servidores de DNS maliciosos em diferentes servios de hospedagem. Quase todos localizados fora do Brasil.

4 de 8

30/04/2014 09:52

O conto dos 1001 modems ADSL | Kaspersky Lab Brasil

http://brazil.kaspersky.com/sobre-a-kaspersky/centro-de-imprensa/blog...

Lista com 35 servidores de DNS maliciosos cibercriminosos registraram 40 para fazer os ataques Sabemos de ataques em que somente o servidor de DNS primrio foi alterado, mantendo no servidor secundrio o DNS do provedor de internet ou mesmo o DNS pblico do Google. Dessa forma o criminoso poderia ativar o DNS malicioso por apenas alguns minutos no dia, em tempos especficos. Dessa forma o atacante poderia controlar todo o trfego e manter a discrio, mesmo se tratando de um ataque em massa, e assim no levantar suspeitas. Depois de configurado no modem, o DNS malicioso passa a redirecionar a vtima para servidores BIND com input type SOAe A, onde diversas pginas de phishing de bancos brasileiros estavam hospedadas. Outros cibercriminosos se aproveitaram para redirecionar as vtimas para instalar malware em seu computador, atravs do DNS malicioso. 4.5 milhes de modems comprometidos Em Maro passado o CERT.br divulgou (http://www.cert.br/docs/palestras/certbr-jornada-sisp2012.pdf) que o ataque comprometeu cerca de 4.5 milhes de modems. Essa situao chamou a ateno de Bancos, provedores de internet e fabricantes de hardware a pensar numa soluo para o problema. Sabemos que no basta reportar os servidores DNS maliciosos para que sejam retirados do ar com milhares de dispositivos comprometidos, isso faria com que milhes de usurios perdessem a conexo, inundando o servio de suporte dos provedores de internet. Alguns fabricantes ento comearam a providenciar uma atualizao de firmware que corrigia o problema, especialmente em modelos mais populares. Usurios comearam a reclamar do problema com os provedores de internet pedindo por soluo, enquanto os bancos comearam a denunciar e derrubar os DNSs maliciosos. Apesar de todo o esforo, em Maro de 2012 o CERT.br divulgou que um total de 300.000 modems ainda estavam comprometidos. Nesse ataque o principal objetivo dos cibercriminosos, como so quase todos no Brasil era de roubar credenciais bancrias das vtimas. Eles no desistem at consegui-las, direcionando as vtimas para sites falsos de banco ou pginas onde era solicitada a instalao de um plugin, geralmente em sites populares como Google, Facebook, Orkut. A Trend Micro publicou recentemente um blog (http://blog.trendmicro.com/info-stealer-poses-as-google-chrome-installer/) onde eles descrevem exatamente esse mesmo ataque, em que URLs de sites conhecidos pareciam distribuir arquivos executveis no existentes, mas eles admitem que uma pea estava falando, que exatamente essa: o modem ADSL comprometido, configurado com um DNS malicioso era o responsvel pelo redirecionamento das vtimas para pginas que aparentemente possuem URLs legtimas, oferecendo a instalao de trojans, como essas: http://www.google.com.br/css5/exploit.jar http://www.google.com.br/css5/XAE.jar http://www.google.com.br/k.jar http://www.google.com.br/Google_setup.exe http://www.baixaki.com.br/css5/exploit.jar http://www.baixaki.com.br/css5/XAE.jar http://www.facebook.com/css5/exploit.jar http://www.facebook.com/FaceBook_Complemento.exe http://www.terra.com.br/css5/exploit.jar http://www.terra.com.br/css5/XAE.jar http://www.ig.com.br/css5/exploit.jar http://www.ig.com.br/css5/XAE.jar http://www.uol.com.br/css5/exploit.jar http://www.uol.com.br/css5/XAE.jar http://www.buscape.com.br/css5/exploit.jar http://www.buscape.com.br/css5/XAE.jar http://www.clicrbs.com.br/css5/exploit.jar http://www.mercadolivre.com.br/css5/exploit.jar

5 de 8

30/04/2014 09:52

O conto dos 1001 modems ADSL | Kaspersky Lab Brasil

http://brazil.kaspersky.com/sobre-a-kaspersky/centro-de-imprensa/blog...

http://www.mercadolivre.com.br/css5/XAE.jar

Quando navegando em sites populares, como o Facebook por exemplo, o usurio v o seguinte alerta:

Instale agora mesmo o novo aplicativo do Facebook Em alguns ataques recentes os criminosos usaram exploits em Java para infectar as vtimas automaticamente, em ataques de driveby-download:

Google ou Orkut pedindo para executar um applet em Java? No, o DNS malicioso configurado no modem Claro que a disseminao desses exploits ficou limitada ao Brasil. Como exemplo podemos citar o Exploit.Java.CVE-2010-4452.a, usado nesses ataques desde Maio de 2011. No primeiro dia do ataque registramos mais de 800 usurios infectados:

6 de 8

30/04/2014 09:52

O conto dos 1001 modems ADSL | Kaspersky Lab Brasil

http://brazil.kaspersky.com/sobre-a-kaspersky/centro-de-imprensa/blog...

Infectados com o Exploit.Java.CVE-2010-4452.a: todas as vtimas localizadas no Brasil Um dos servidores de DNSs usados no ataque foi derrubado e acessado por autoridades que estavam investigando o problema. Nele foi encontrado vrios logs que exibiam o nmero das vtimas. Um dos logs mostrava mais de 14 mil vtimas:

Concluso O que os usurios e vtimas desse ataque podem fazer para se proteger? Como foi sugerida por nossa analista Marta Janus em seu

7 de 8

30/04/2014 09:52

O conto dos 1001 modems ADSL | Kaspersky Lab Brasil

http://brazil.kaspersky.com/sobre-a-kaspersky/centro-de-imprensa/blog...

artigo, recomendamos o mesmo: usurios devem configurar senhas fortes para acesso ao modem, checar as configuraes de segurana e atualizar o firmware e todo software de segurana importante do computador - no momento estas so as nicas coisas que realmente o usurio pode fazer. O restante est nas mos dos fabricantes, os nicos que podem mudar o design desses dispositivos e torn-los mais seguros. A Kaspersky detecta os scripts maliciosos desse ataque como HackTool.Shell.ChDNS.a.

8 de 8

30/04/2014 09:52