O Malware BASHLITE Atinge Mais de Um Milhão de Dispositivos IoT
Há uma batalha contínua contra malware em todo o mundo, e ela está assumindo novas formas e mudando para novas frentes. Uma das batalhas relativamente novas é combater malware que afeta dispositivos de Internet das Coisas (IoT). A definição ampla de IoT seria qualquer dispositivo ou mesmo veículo que possua eletrônicos e software, além de uma conexão ativa à Internet.
Parece que hackers e maus atores estão se concentrando cada vez mais nos dispositivos de IoT, como aponta uma pesquisa recente da Level 3 Threat Research Labs - uma empresa de infosec sediada no Colorado -. De acordo com o relatório, uma família de malware, que compartilha os nomes BASHLITE, Lizkebab, Garfyt e Torlus, infectou mais de um milhão de dispositivos através de ataques coordenados de botnets.
Dale Drew, CSO do Nível 3, diz que sua empresa originalmente se propôs a pesquisar uma série daquilo que ele chama de botnets "médios", com a intenção de obter o máximo possível de informações interessantes sobre eles. O estudo mostrou que o malware BASHLITE tinha conexões com várias botnets que se mostraram muito melhor organizadas do que os pesquisadores imaginavam.
A pesquisa revelou que vários servidores de comando e controle (C&C) estavam relacionados à família de malware BASHLITE e foram vinculados usando apenas 72 bots - um número modesto, considerando o escopo de muitas botnets. Pesquisas posteriores mostraram que a família de malware estava realmente conectada a até 120.000 máquinas de bot. Por fim, a Level 3 descobriu que a família de malware BASHLITE estava realmente conectada a cerca de 100 servidores C&C e alguns deles estavam executando cem ataques DDoS (Denial of Service - Denial of Service) distribuídos a curto prazo todos os dias. A falsa sensação inicial do escopo das redes de bots deveu-se à sua natureza altamente compartimentada, que fornece sinais incertos sobre seu tamanho real.
O Nível 3 menciona que os coletivos de hackers estão se concentrando nos dispositivos de IoT, pois são alvos relativamente fáceis, e depois os estão usando para executar ataques DDoS que os maus atores vendem como um serviço aos seus clientes. De acordo com a pesquisa, os hackers não se importam com as especificidades do dispositivo que violaram, simplesmente recebem sua carga útil de DDoS o mais rápido possível, depois executam várias versões compiladas para diferentes arquiteturas de hardware e continuam fazendo isso até um clica e é executado corretamente no dispositivo comprometido.
A grande maioria dos dispositivos IoT direcionados eram câmeras e gravadores de vídeo. O Nível 3 também aponta que essa é uma mudança drástica da estrutura mais antiga da maioria das botnets, onde os atores comprometidos usados nos ataques eram principalmente servidores e roteadores domésticos. Segundo o relatório, a maior parte das câmeras e gravadores invadidos estava localizada em Taiwan, Colômbia e Brasil. A melhor parte desses dispositivos usava credenciais de administrador padrão e era baseada em algum tipo de compilação do Linux. Os recursos de streaming de vídeo implicam muita largura de banda disponível e isso apenas torna esses dispositivos ferramentas ainda mais poderosas nas mãos dos hackers DDoS.
A maioria dos dispositivos infectados foi fabricada por um punhado de fabricantes, que usavam medidas e padrões de segurança "desleixados". A Dahua Technology estava entre os poucos fabricantes, o que é um tanto perturbador, já que é a empresa de soluções de vigilância que possui a segunda maior participação de mercado do mundo, mas o CTO da Level 3 disse que a empresa está tomando medidas para corrigir essas vulnerabilidades.
O ataque BASHLITE não foi o primeiro esforço para atingir câmeras e usá-las na execução de ataques DDoS. Somente em 2016, houve duas instâncias menores de botnets usando dispositivos de CFTV e webcams.