A Comissão de Proteção dos Dados Pessoais do Ministério Público do DF e Territórios (MPDFT) divulgou hoje (07) um alerta para que todos os brasileiros reiniciem os roteadores de internet domésticos. O alerta se deve ao risco de infecção pelo malware VPNFilter.
O malware VPNFilter já infectou mais de 500 mil roteadores em 54 países diferentes. De acordo com os especialistas de segurança da Talos Intelligence Group, o programa malicioso tem o potencial de roubar senhas e outras informações além de desconectar uma rede da internet. “Para ajudar a combater o vírus, todos os proprietários brasileiros devem reiniciar os aparelhos para interromper temporariamente o vírus e ajudar na identificação potencial de roteadores infectados”, nota o MPDFT.
Quem pode sofrer o ataque: o VPNFilter utiliza uma versão do malware BlackEnergy, que causou um blecaute na Ucrância em 2016, e pode infectar infraestrutura de rede com roteadores das marcas Linksys, MikroTik, Netgear e TP-Link, em ambiente doméstico, pequenas empresas (SOHO) e em redes equipadas com dispositivos QNAP.
Além do MPDFT, o FBI (unidade de polícia do Departamento de Justiça dos Estados Unidos) emitiu na sexta-feira retrasada (25) um alerta contra a nova ameaça que teria vindo da Rússia, o VPNFilter.
“O VPNFilter é capaz de tornar inoperantes os pequenos roteadores de escritórios e grupos domésticos. O malware também pode coletar informações que passam pelo aparelho. A detecção e análise da atividade de rede do malware é complicada pelo uso de criptografia e redes atribuídas incorretamente”, diz o alerta do FBI. O malware pode roubar suas credenciais e “brickar” os produtos, tornando-os inoperantes.
No Brasil, o MPDFT também adiciona a seguinte recomendação: “A desativação das configurações de gerenciamento remoto e o uso de senhas fortes. Também é importante atualizar o software (firmware) do roteador. Os aparelhos infectados podem coletar dados pessoais, bloquear o tráfego de internet e direcionar os usuários para sites falsos de instituições bancárias e de e-commerce. O objetivo é cometer fraudes”.
De acordo com o MPDFT, a decisão de soltar o alerta vem após oito meses de investigação ao lado da Polícia Civil do Distrito Federal (PCDF).
Indicações da Talos
A Talos vai além de uma simples reinicialização de modem e pede o seguinte:
- Que os usuários dos roteadores SOHO e/ou dos dispositivos NAS os redefinam para os padrões de fábrica e os reinicializam para remover os malwares potencialmente destrutivos e não persistentes
- Que os provedores de serviços de internet que fornecem roteadores SOHO para seus usuários reinicializam os roteadores em nome de seus clientes
- Garanta que o dispositivo esteja atualizado com as versões de patch mais recentes. Se não, você deve aplicar os patches atualizados imediatamente.
Existem inúmeras motivações para ataques hackers. Eles podem ser realizados para obter informações privilegiadas, roubar dados pessoais, para roubar dinheiro, etc. Poucos ataques, no entanto, se comparam ao realizado por Konrads Voits, um americano que invadiu o sistema de uma penitenciária para alterar a data de libertação de um companheiro.
O rapaz, de 27 anos, se declarou culpado por hackear a rede do presídio do condado de Washtenaw, no estado de Michigan nos EUA. O ataque envolveu boas doses de engenharia social, técnica no qual o hacker se aproveita da ingenuidade das vítimas e faz uso de sua lábia para enganá-las.
O ataque descrito nos documentos do processo mostra que antes de tudo, Voits criou um site falso. Ele registrou um site com o domínio ewashtenavv.org (com duas letras “v” se passando por um “w”), um endereço que se aproxima do domínio ewashtenaw.org, o site oficial do condado de Washtenaw, e passou a enviar esse link por email para funcionários da penitenciária identificando-se como “Daniel Greene”, tentando infectar as máquinas por método de phishing.
No entanto, ele só obteve sucesso quando passou a ligar diretamente para funcionários do presídio se passando por dois funcionários do departamento de TI do estabelecimento. Foi assim que ele convenceu as pessoas a baixar um malware sob o pretexto de “atualizar o sistema da penitenciária”, que deu a ele o controle da rede.
A partir daí, ele teve acesso ao software XJail, que monitorava as atividades dos detentos, e todos os registros armazenados na rede, incluindo informações dos prisioneiros e dos funcionários. Com o controle do XJail, ele acessou o registro de vários detentos e alterou os registros de um deles para tentar fazer com que ele fosse liberado mais cedo.
Não demorou muito, no entanto, para o ataque ser percebido. Os funcionários notaram o problema e alertaram o FBI. O presídio também precisou contratar uma empresa especializada em planos de resposta a incidentes em TI, que cobrou US$ 235 mil pelo trabalho de determinar a extensão dos danos.
Agora que se declarou culpado, Voits pode pegar até 10 anos de prisão e pagar uma multa de até US$ 250 mil, além de entregar todos os equipamentos eletrônicos usados no ataque, incluindo um notebook, quatro celulares, uma placa lógica e uma quantia não divulgada de bitcoins. A sentença será definida em novo julgamento marcado para abril de 2018.
A edição “mobile” da competição de segurança Pwn2Own encerrou somando mais de meio milhão de dólares (US$ 515 mil, ou R$ 1,7 milhão) em recompensas por 32 falhas de segurança demonstradas por especialistas e cujos detalhes técnicos serão revelados apenas para a organizadora da competição – a Trend Micro – e os desenvolvedores e fabricantes dos componentes e aplicativos envolvidos.
A Pwn2Own é um evento tradicional cuja organização já passou pelas mãos da 3Com e da HP. Ele é realizado desde 2007 e conta atualmente com duas edições anuais, uma no Canadá, onde a competição surgiu, e outra no Japão. Neste ano, a edição canadense, realizada em março, pagou US$ 833 mil por 51 vulnerabilidades inéditas, mas tinha foco em sistemas de virtualização e programas para computador. A edição japonesa, realizada nos dias 1º e 2 de novembro, teve foco em dispositivos móveis.
Embora todas as falhas demonstradas sejam inéditas, espera-se que os fabricantes dos softwares lancem atualizações para corrigir os defeitos encontrados em breve.
Ataque contamina iPhone com conexão ao Wi-Fi
Entre os feitos mais impressionantes do evento está um ataque demonstrado pelos especialistas em segurança da chinesa Tencent. Eles conseguiram utilizar falhas no sistema do iPhone para contaminar o celular apenas com uma conexão a uma rede Wi-Fi maliciosa. O celular da Apple estava usando a versão mais recente do iOS, a 11.1, lançada um dia antes do início do evento.
Pela primeira vez na Pwn2Own, foram demonstradas brechas no rádio dos celulares. Chamados de “ataques em banda base”, eles têm alto potencial destrutivo, já que comprometem a conexão do celular aos sinais 3G ou 4G. Duas brechas em banda base foram demonstradas: uma, da Tencent, que afetou o celular Huawei Mate9 Pro e permitiu a alteração do IMEI do aparelho, enquanto segunda, a única participação de um especialista identificado como “acez” no evento, conseguiu contaminar com vírus um celular Samsung Galaxy S8.
Um ataque demonstrado pelo MWR Labs no Samsung Galaxy S8 também chamou atenção pelo número de falhas envolvidas: foram 11 vulnerabilidades encadeadas para conseguir infectar o aparelho por meio de um site na web.
Os outros ataques demonstrados no evento os navegadores dos celulares, tanto dos aparelhos com Android como o Safari, no caso do iPhone. Um dos ataques contra o Safari foi demonstrado por Richard Zhu, o quinto participante do evento a pontuar.
Tencent venceu competição
Além dos prêmios em dinheiro, a Pwn2Own pontua cada ataque demonstrado. A vencedora desta edição foi a Tencent, com 44 pontos. Em segundo lugar ficou a 360 Security, com 27. A 360 Security havia sido a vencedora da edição canadense, quando a Tencent participou com três times diferentes e diluiu a pontuação da empresa.
Os dois ataques que mais pontuaram foram os ataques em banda base, que ficaram com 20 pontos cada. Isso garantiu o primeiro lugar da Tencent e também o quarto lugar de “acez”, atrás do MWR Labs, que ficou em terceiro. Eis o ranking final do evento:
Um dos maiores desafios da Internet das Coisas e das casas conectadas é garantir a segurança dos dispositivos. E um ataque que ocorreu nos EUA recentemente mostra como uma invasão a um dispositivo da casa pode dar muita dor de cabeça aos moradores.
Um hacker conseguiu invadir um termostato inteligente da Heatmiser. Com acesso total ao dispositivo, ele aumentou em 12º C a temperatura da casa do seu alvo, que saiu de 23 ºC para 35 ºC, relata o The Next Web.
O ataque não foi muito complicado: o hacker se aproveitou de uma falha conhecida desde 2014 e que não foi consertada no modelo atacado – que a fabricante Heatmiser garante não estar mais no mercado e que a falha não existe nos modelos mais recentes.
A falha é a seguinte: o gerenciamento do termostato pode ser feito a partir de um portal da web que não é lá muito seguro, e as credenciais de entrada ficam gravadas no código-fonte da página, que pode ser facilmente acessada por qualquer pessoa.
Com os dados de login em mãos, o hacker conseguiu mexer na temperatura da casa, transformando um ambiente agradável em um calor infernal.
A questão da segurança tem potencial para impedir a popularização das tecnologias de casas conectadas. Afinal de contas, ninguém vai querer uma fechadura que pode ser facilmente hackeada, ou então viver em um ambiente que a qualquer momento pode ter a temperatura alterada por alguém de fora.
Um novo ataque hacker foi descoberto na terça-feira (23) pelos pesquisadores do Instituto de Tecnologia da Geórgia, nos Estados Unidos. Batizado de Cloak and Dagger, algo como “Capa e Punhal”, o ataque atinge todos os smartphones com sistema operacional Android — até a versão Nougat 7.1.2. A Google já foi informada sobre a existência do Cloak and Dagger.
Veja bem: esse ataque cibercriminoso não utiliza uma vulnerabilidade de sistema ou exploit do Android, mas sim permissões legítimas para aplicativos quando instalados no celular.
De acordo com os pesquisadores, o ataque Cloak and Dagger permite que cibercriminosos invadam um smartphone Android e, de maneira silenciosa, consigam acesso completo ao sistema operacional. Dessa maneira, eles teriam controle total do celular e poderiam roubar dados privados, incluindo senhas de banco, redes sociais, conversas, contatos etc.
Como citado anteriormente, o Cloak and Dagger se utiliza de permissões para invadir o smartphone. Se você tem um smartphone, sabe bem do que estamos falando: quando você instala um aplicativo, um menu popup aparece mostrando o nível de acesso ao aparelho que você entrega ao app. É nesse momento que o ataque cibercriminoso age.
Como o Cloak and Dagger age
Os pesquisadores do Instituto de Tecnologia da Geórgia conseguiram inserir o Cloak and Dagger em 20 smartphones Android, e nem usuários nem sistema operacional conseguiram detectar a atividade maliciosa.
Para invadir os dispositivos, o ataque utiliza as seguintes permissões:
- SYSTEM_ALERT_WINDOW (“draw on top”)
- BIND_ACCESSIBILITY_SERVICE (a11y”)
A primeira permissão citada, como indica o The Hacker News, é uma maneira legítima que fornece ao aplicativo a capacidade de sobrepor outros aplicativos na tela do smartphone. Enquanto isso, a segunda permissão é voltada para deficientes auditivos e visuais, permitindo que o usuário utilize comandos de voz para realizar a ações ou escutar o que está na tela.
“Já que o ataque não exige um código malicioso para desempenhar tarefas trojan, ele se torna mais fácil para hackers desenvolverem e colocarem o app malicioso na Google Play Store sem detecção”, analisa a pesquisa. Os envolvidos no projeto também comentaram como conseguiram incluir o app invasor na lista de downloads da Google Play:
O aplicativo foi aprovado em apenas algumas horas na Google Play
“Nós submetemos o aplicativo exigindo essas duas permissões e possuindo uma funcionalidade ‘não ofuscada’ para baixar e executar um código arbitrário (buscando simular um comportamento claramente malicioso): esse aplicativo foi aprovado em apenas algumas horas (e ainda está disponível na Google Play)”, escreveram os pesquisadores.
Entre as capacidades do Cloak and Dagger, também estão: ataque avançado de clickjacking (roubo de clique, como uma armadilha), gravação de teclas utilizadas, ataque silencioso de phishing e instalação silenciosa de um app God Mode (controle total ao aparelho). Abaixo, você vê um vídeo demonstrando como o ataque funciona.
Google avisada; o que fazer?
Os pesquisadores deixaram claro que a Google já foi avisada, contudo essas permissões foram codificadas no Android — então uma resolução seria muito difícil. Ao que parece, a Google vai modificar essas permissões na próxima versão do sistema operacional, o Android 8.0 O, que chega ainda neste ano.
Atualização. O comentário da Google sobre o Cloak and Dagger é o seguinte: “Apreciamos os esforços em ajudar a deixar os nossos usuários seguros. Atualizamos o Google Play Protect — os nossos serviços de segurança em todos os dispositivos Android com Google Play — para detectar e prevenir a instalação desses apps. Já desenvolvemos novas proteções de segurança no Android O que vão fortalecer nossa proteção contra problemas futuros”.
Enquanto isso, siga a recomendação: preste muita atenção aos aplicativos que você baixa na Google Play Store — e mais ainda fora da loja oficial. Cheque o desenvolvedor e os comentários. Além disso, é interessante desabilitar o “SYSTEM_ALERT_WINDOW” como forma de precaução.
Para isso, siga estes passos: vá até as “Configurações” do Android, então escolha “Apps” e toque no símbolo de engrenagem no canto superior direito. Agora, toque em “Sobrepor a outros apps” e desabilite (troque o Sim por Não) para qualquer app suspeito/que não precisa da permissão.
Para mais atualizações sobre este caso, acompanhe nossa página específica sobre segurança.