Novo vírus da internet das coisas pode ‘destruir’ roteadores domésticos, alertam empresas

A memória flash de roteadores e outros dispositivos da internet das coisas é responsável por armazenar o sistema embutido (ou “firmware”) do aparelho. Diferente de dispositivos de armazenamento padrão, como discos rígidos de computador, não é fácil de extrair a memória flash para reprogramá-la. Sem o código armazenado nessa memória, o dispositivo também não consegue voltar ao estado de fábrica. Por isso, na prática, o equipamento é considerado inutilizado.

A Cisco disse que sua investigação sobre o ataque não está completa e que ainda não foi possível determinar quais estão sendo as brechas utilizadas pelos invasores para obter acesso não autorizado aos equipamentos e infectá-los (veja lista de dispositivos vulneráveis ao fim da reportagem). Segundo a empresa, o país mais atacado é a Ucrânia. O VPNFilter também guarda algumas semelhanças com o vírus BlackEnergy.

O BlackEnergy é um vírus sofisticado que teria sido responsável por um apagão na Ucrânia. O governo Ucraniano e outras autoridades atribuem a autoria do vírus a agências de segurança russas. O governo russo nega envolvimento no caso.

O alerta da Cisco foi repassado pela Cyber Threat Alliance, um grupo formado por diversas empresas do setor de tecnologia e segurança.

Segundo a fabricante de antivírus Sophos, que repassou o alerta da Cyber Threat Alliance, a existência de um código capaz de “matar” o roteador é uma espécie de “bomba relógio” digital. A empresa também observa que, em alguns casos, o consumidor pode ter problemas para trocar o equipamento, já que os roteadores costumam ser fornecidos pelo provedor de internet.

Na sexta-feira (25), o FBI divulgou um alerta recomendando que usuários reiniciem (desliguem e religuem) seus roteadores para inibir a ação do vírus, já que parte do código não contamina o dispositivo de modo permanente. Para se prevenir da praga, a recomendação é atualizar o software embarcado (firmware), disponível no site do fabricante, para a versão mais recente.

Após contaminar um aparelho, o código do VPNFilter busca o endereço de download do “estágio 2” do ataque. O endereço de download está oculto em fotos no formato JPG armazenadas no Photobucket, um site popular para o compartilhamento de imagens. O vírus é capaz de extrair o endereço de download dos metadados da imagem onde normalmente estariam registradas as coordenadas GPS de onde a foto foi tirada.

O objetivo dessa medida é ocultar o propósito duplo dos arquivos e dificultar a derrubada dos canais que distribuem a praga digital.

Enquanto estiver presente no roteador, o VPNFilter é capaz de observar o tráfego que passa pelo equipamento para realizar espionagem. Segundo a Cisco, é possível que a praga possua diversos outros módulos, capazes de realizar outras atividades, que ainda não foram identificados.

Segundo a Sophos, um “reflash” do firmware do fabricante é suficiente para garantir que o vírus seja removido do equipamento. Esse procedimento é realizado baixando-se o firmware no site do fabricante e aplicando-o no painel de administração do equipamento.

Quem possui um dos equipamentos abaixo, especialmente se o mesmo estiver desatualizado e com conexão direta à internet — o que normalmente é o caso para esses equipamentos –, deve realizar o procedimento de flashing.

• E1200
• E2500
• WRVS4400N

• 1016
• 1036
• 1072

• DGN2200
• R6400
• R7000
• R8000
• WNR1000
• WNR2000

• TS251
• TS439 Pro

• R600VPN. Informações G1.