Uma ameaça silenciosa se esconde nos meandros da internet, muitas vezes escapando à nossa percepção. As vítimas, frequentemente, nem sabem que estão infectadas, enquanto os criminosos virtuais desfrutam de uma taxa de sucesso alarmantemente alta.
As botnets representam um perigo significativo, permitindo que seus operadores usem uma rede de computadores comprometidos para executar uma ampla gama de atividades prejudiciais aos usuários dos dispositivos infectados e a terceiros.
Como? Enviando spam, distribuindo golpes e ameaças camufladas em anexos de arquivos ou realizando ataques DDoS – abordaremos este último ponto em detalhes.
Um ataque de negação de serviço distribuído (DDoS, do inglês Distributed Denial of Service) visa sobrecarregar a capacidade computacional de processamento dos alvos, inundando-os com solicitações até que fiquem saturados.
A Botnet Mirai
Em agosto de 2016, surgiu uma botnet que, meses depois, chocaria o mundo com um ataque DDoS monumental. Estamos falando da famosa botnet Mirai, que explorou a Internet das Coisas (IoT) para orquestrar um dos ataques mais memoráveis da história.
Mirai é um malware que infecta dispositivos inteligentes que rodam em processadores ARC, transformando-os em uma rede de bots ou “zumbis” controlados remotamente. Essa rede de bots, chamada de botnet, é frequentemente usada para lançar ataques DDoS.
Os responsáveis pela criação foram Paras Jha, com 21 anos na época, e Josiah White, com 20 anos, que juntos fundaram a Protraf Solutions. Esta empresa oferecia serviços de mitigação de ataques DDoS.
O caso deles representava um exemplo clássico de conflito de interesses: enquanto seus negócios forneciam serviços para mitigar ataques DDoS, o malware que criaram atacava as mesmas organizações.
O perigoso vírus verifica a internet em busca de dispositivos de IoT que são executados no processador ARC. Este processador executa uma versão simplificada do sistema operacional Linux. Se a combinação padrão de nome de usuário e senha não for alterada, o software malicioso poderá fazer login no dispositivo e infectá-lo.
A Internet das Coisas, ou IoT, é uma expressão moderna que se refere aos dispositivos inteligentes capazes de se conectar à internet. Esses dispositivos englobam uma ampla gama de produtos, como babás eletrônicas, veículos, roteadores de rede, equipamentos agrícolas, dispositivos médicos, ferramentas de monitoramento ambiental, eletrodomésticos, gravadores de vídeo digital (DVRs), câmeras de segurança, fones de ouvido e detectores de fumaça.
O dia 21 de outubro de 2016 não foi comum para o provedor de serviços Dyn, que foi alvo de um ataque DDoS massivo. Isso resultou em interrupções em uma variedade de serviços e sites amplamente utilizados, incluindo o antigo Twitter, Airbnb, Reddit, Amazon, SoundCloud, Spotify, Netflix e Paypal, entre outros.
Essa não foi a única investida impressionante da botnet Mirai naquele ano. A empresa de hospedagem na web francesa OVH sofreu interrupções significativas, e o ataque alcançou um recorde de tráfego DDoS na época, ultrapassando 1,1 terabits por segundo.
Um exército de eletrodomésticos
A peculiaridade desse malware foi sua vasta rede composta por dispositivos digitais conectados à internet, infectados devido à falta de proteção, configuração inadequada ou senhas frágeis. Roteadores domésticos, gravadores de vídeo, câmeras de vigilância e outros dispositivos inteligentes foram recrutados pelo Mirai para seus ataques. Estima-se que mais de 600 mil dispositivos domésticos inteligentes tenham sido incluídos nesse exército conectado à internet.
Entretanto, a saga desse malware não terminou ali. Seu código fonte foi disponibilizado em fóruns de código aberto, resultando em sua técnica sendo adotada em vários outros projetos de malware nos anos seguintes.
O perigo é real. Qualquer indivíduo que instale um dispositivo IoT sem alterar a senha padrão está potencialmente abrindo as portas para ataques cibernéticos. Os criminosos por trás dos ataques DDoS conhecem as senhas padrão de muitos dispositivos IoT e, como demonstrado em 21 de outubro de 2016, qualquer coisa conectada à internet representa um risco, especialmente se estiver desprotegida.
O perigo ainda não acabou
Embora os criadores originais do Mirai tenham sido capturados, seu código-fonte continua em circulação. Isso resultou no surgimento de variantes como o Okiru, o Satori, o Masuta e o PureMasuta.
Por exemplo, o PureMasuta demonstrou habilidade para explorar a vulnerabilidade HNAP em dispositivos D-Link. Já a cepa OMG transforma dispositivos IoT em proxies, permitindo que os criminosos cibernéticos permaneçam anônimos.
Além disso, recentemente foi descoberta uma botnet poderosa e recém-nomeada de IoTrooper e Reaper, que têm a capacidade de comprometer dispositivos IoT em uma taxa muito mais rápida que o Mirai. A Reaper é especialmente preocupante, pois consegue afetar uma gama mais ampla de fabricantes de dispositivos e tem um controle mais refinado sobre seus bots.
Por que as botnets são perigosas?
As botnets têm o potencial de impactar praticamente todos os aspectos da vida de uma pessoa, usando ou não dispositivos de IoT ou até mesmo a internet. Elas podem:
- atacar provedores, resultando em negação de serviço para tráfego legítimo;
- enviar e-mail de spam;
- lançar ataques DDoS e derrubar sites e APIs;
- realizar fraudes de cliques;
- resolver desafios fracos CAPTCHA em sites para imitar o comportamento humano durante os logins;
- roubar informações de cartão de crédito;
- obrigar empresas a pagar resgates com ameaças de ataques DDoS.
Então, o que podemos fazer? Considere os dispositivos IoT como computadores: mude imediatamente a senha padrão e verifique regularmente as atualizações de segurança.
Utilize a interface HTTPS sempre que possível e desligue os dispositivos quando não estiverem em uso. Se houver protocolos de conexão desnecessários, é melhor desativá-los.
Diante desse cenário, a prevenção é fundamental. Especialmente quando a ameaça pode residir dentro de nossos lares, explorando nossos próprios dispositivos.
No curso de Pentest do zero ao profissional v2024-SYCP da Solyd ensinamos a dominar todas a ferramentas que os invasores usam. Torne-se um hacker ético e combata esses criminosos digitais.
Você receberá um treinamento avançado para se profissionalizar e ingressar no mercado de Pentest, AppSec, Red Team e Bug Bounty.