Após um ano de pesquisa, a Kaspersky Lab divulga (com detalhes) a atuação de um ataque contra modems ADSL em atividade no Brasil desde 2011, que infectou mais de 4,5 milhões de modems, segundo o último informativo da CERT Brasil, para isso utilizando 40 servidores maliciosos de DNS (sistemas de nomes de domínio) para roubar dados de usuários de internet banking de forma massiva e silenciosa.
Diferentemente dos ataques comuns, que visam atacar o PC, este tinha como objetivo infectar e alterar as configurações de dispositivos de redes (os modems de internet) domésticos desatualizados por meio de uma vulnerabilidade presente no firmware dos equipamentos. A eficácia e tempo prolongado de atuação do ataque (que ainda está ativo) justifica-se pela negligência generalizada dos fabricantes do hardware e provedores de internet e por falta de conhecimento técnico por parte dos proprietários, que uma vez que instalam o modem, não se preocupam com a aplicação de atualizações de firmware fornecidos pelos fabricantes. Vale ressaltar que a atualização do firmware do modem é uma operação avançada e que, caso realizada erroneamente, pode inutilizar o equipamento.
Sem muito alarde, uma falha em um modelo específico de modem, descoberta em março de 2011, permitiu o acesso e roubo da senha de administrador no equipamento. entretanto, não se sabe exatamente quando os criminosos começaram a explorá-la. Ao acessar o modem, o cibercriminoso alterava a configuração do sistema de nomes de domínio (DNS) e mudava a senha para impedir que o proprietário pudesse remover as alterações feitas no equipamento. Aparentemente, a falha não está relacionada a um modelo ou fabricante, mas sim ao driver do chipset que executa as principais funções do equipamento e é comprado por fabricantes de modems domésticos. Todos os dispositivos afetados têm em comum chipset Broadcom, inclusive em modems aprovados pela Agência Nacional de Telecomunicações do governo brasileiro. Curiosamente, nem todos os dispositivos que usam esse chip apresentam a falha.
Para concluir o golpe, os criminosos brasileiros registraram 40 servidores DNS maliciosos em diferentes serviços de hospedagem (quase todos fora do Brasil), que eram configurados como DNS primário, mantendo-se o servidor secundário do provedor de internet ou DNS público do Google como endereço alternativo. Desta forma, os atacantes poderiam controlar o tráfego e manter a discrição do ataque, pois os DNSs maliciosos eram ativados apenas em alguns momentos de cada dia, em horários específicos. Uma vez em funcionamento, o DNS malicioso dirigia as vítimas para páginas falsas de bancos brasileiros. Outros bandidos também aproveitaram os redirecionamentos para instalar malware em máquinas das vítimas.
A situação é agravada pelo fato de que, mesmo sem a vulnerabilidade, diversos modems são comercializados com senhas padrões e os usuários muitas vezes não as alteram. Já outros dispositivos são criados quando os provedores de internet habilitam contas de acesso remoto e as credenciais são conhecidas por criminosos. Para piorar, ainda há a negligência por parte dos fabricantes que, mesmo depois de serem alertados, demoram a liberar as atualizações de firmware necessárias para resolver o problema.
Esta situação levou bancos, provedores de internet, fabricantes de hardware e agências governamentais a se reunir para discutir uma solução para o problema. Porém, a apatia dos fabricantes e provedores de serviços, somado à ignorância dos órgãos oficiais brasileiros (que não avaliam medidas de segurança dos dispositivos), criaram uma "tempestade perfeita" e permitiram que os cibercriminosos atacassem livremente. Em março de 2012, o CERT.br havia registrado um total de 300 mil modems ainda estavam comprometidos.
Mais informações sobre a pesquisa, acesse o artigo original (em inglês) no Securelist: http://www.securelist.com/en/blog/208193852/The_tale_of_one_thousand_and_one_DSL_modems.
Fabio Assolini, autor da pesquisa é analista de malware da Karsperky.