Como se prevenir do ataque hacker a roteadores que atinge só o Brasil?
Mais de 180.000 roteadores no Brasil tiveram suas configurações de DNS alteradas no primeiro trimestre de 2019. A praga virtual tenta roubar dados bancários.
Um grande ataque aos roteadores brasileiros assolaram o povo por quase um ano. O ataque corrompia o roteador dos usuários e causavam consequências graves, incluindo perdas financeiras às vítimas. E o mais peculiar é que este ataque não atingiu nenhum outro país no mundo, apenas o Brasil.
Embora não tenha atingido outros países, muitos gringos se assustaram e acabaram se precavendo com a ameaça, pois não é descartado que o ataque sofrido pelos brasileiros acabe se espalhando em outros países.
Alteração de DNS no roteador
Os ataques direcionados a roteadores no Brasil começaram no ano passado e foram diagnosticados pela empresa de segurança cibernética Radware. Pelo menos 180 mil roteadores foram atingidos pelo ataque apenas no primeiro semestre deste ano.
O ataque em questão desvia o acesso a um determinado site para uma página idêntica clonada. Quando isso ocorre, o redirecionamento desvia o destino de serviços bancários para um código de mineração de criptomoeda no navegador do usuário.
Os alvos do ataque são os seguintes roteadores domésticos:
- TP-Link TL-WR340G / WR1043ND
- D-Link DSL-2740R / DIR 905L
- A-Link WL54AP3 / WL54AP2
- Medialink MWN-WAPR300
- Motorola SBG6580
- Realtron
- GWR-120
- Secutech RiS-11 / RiS-22 / RiS-33
Os códigos são colocados em sites clonados, e os que acabam sendo atingidos são os roteadores com senhas fáceis.
A empresa Bad Packets detalhou uma nova onda de ataques em abril de 2019, especificamente aos roteadores da D-Link. Desta vez, além de sequestrar as credenciais dos usuários nos bancos brasileiros, os malfeitores também roubavam as credenciais do internauta na Netflix, Google e PayPal, segundo o Ixia.
O pior de tudo é que nos últimos ataques, a complexidade dos ataques aumentou, e o número de hackers envolvidos nos ataques parece ter subido também.
Como acontecem os ataques aos roteadores
Segundo a Avast, os usuários brasileiros se expõe quando acessam sites torrent de filmes e sites com conteúdo pornográfico, pois nesses portais os anúncios maliciosos (malvertising) executam um código especial dentro do navegador para pesquisar e detectar o endereço IP do roteador e modelo do equipamento.
Após os hackers conseguirem detectar o IP e o modelo do roteador, os anúncios maliciosos usam uma lista de nomes de usuário e senhas padrão para fazer login no roteador, sem o consentimento do usuário. O ataque demora normalmente alguns minutos, mas como os usuários estão normalmente assistindo vídeos no momento, acabam não percebendo as atividades incomuns.
Se o ataque dar certo, códigos maliciosos adicionais serão retransmitidos pelos anúncios mal-intencionados, e a partir daí serão alteradas as configurações de DNS do roteador da vítima, substituindo os endereços IP dos servidores DNS dos provedores pelos endereços IP dos servidores DNS gerenciados pelos hackers.
A próxima vez que os dispositivos da casa forem conectados ao roteador, ele receberá os endereços IP do servidor DNS do hacker, que terão controle e poderão efetuar um sequestro, além de redirecionar o tráfego para outros sites.
GhostDNS, Navidade e SonarDNS
Os hackers usaram dois kits especiais para esses ataques no mês de Fevereiro: O GhostDNS e o Botnet. Além disso, há uma variante do GhostDNS chamado Navidade. O Navidade tentou infectar os roteadores dos usuários mais de 2,6 milhões de vezes, e foi espalhado através de três campanhas.
Desde meados de abril, outra ameaça entrou no mercado: O SonarDNS. O nome vem porque a ameaça parece ser reprojetado de uma estrutura de testes de penetração chamada Sonar.js, como o backbone de sua infraestrutura.
E o Sonar.js é perfeito para os ataques do roteador. Essa biblioteca JavaScript é normalmente usada por testadores de penetração para identificar e iniciar explorações contra hosts de rede internos, e é perfeito para determinar um tipo de roteador e executar explorações no dispositivo de destino com apenas algumas linhas de código. Segundo a Avast, o SonarDNS apareceu em três campanhas diferentes nos últimos três meses, e seu modo de operação é similar ao do GhostDNS.
Substituição de anúncios e criptografia
Além dos ataques de sequestro de DNS, sequestro de tráfego e redirecionamento para páginas de phishing, os hackers também inovaram em seu arsenal com a interceptação do tráfego de usuários e a substituição de anúncios legítimos por anúncios operados ou que gerem lucro para os invasores.
Essa tática já foi usada em 2016, quando os pesquisadores da Proofpoint identificaram um kit de exploração chamado DNSChanger EK, que fez a mesma coisa (substituindo anúncios legítimos por mal-intencionados) e é provavelmente a inspiração desse novo ataque.
Além disso, os hacker que operam o GhostDNS, Navidade e SonarDNS também estão implantando scripts de criptografia baseados no navegador, o que pode ser ainda mais perigoso.
Porque só no Brasil?
Com ataques tão difíceis de detectar e tão lucrativos, ainda não se sabe porque não se espalharam para outros países. Se você quer se prevenir deste tipo de ataque, têm algumas opções à sua disposição:
1. Use senhas complexas de administração do roteador
Para se proteger, a principal medida é trocar da senha que vem configurada de fábrica no seu roteador. Se o aparelho estiver configurado com uma senha diferente da original, o código não é capaz de prosseguir com a adulteração.
2. Mantenha os roteadores atualizados
A cada atualização do firmeware do roteador, a empresa lança atualizações mais seguras para o equipamento.
3. Use configurações de DNS personalizadas em seus dispositivos
Isso impede que o sistema operacional do dispositivo solicite configurações de DNS possivelmente contaminadas do roteador local