Novo vírus da internet das coisas pode ‘destruir’ roteadores domésticos, alertam empresas

Um novo vírus digital chamado VPNFilter, descoberta pelo Talos, a equipe de segurança da Cisco, está atacando a “internet das coisas”, mais especificamente roteadores de rede domésticos. Pelo menos 500 mil dispositivos já foram contaminados com o código, que pode receber comandos de seus criadores. Um desses comandos é o “kill” (“matar”), que tenta apagar a memória flash do dispositivo, inutilizando o equipamento.

A memória flash de roteadores e outros dispositivos da internet das coisas é responsável por armazenar o sistema embutido (ou “firmware”) do aparelho. Diferente de dispositivos de armazenamento padrão, como discos rígidos de computador, não é fácil de extrair a memória flash para reprogramá-la. Sem o código armazenado nessa memória, o dispositivo também não consegue voltar ao estado de fábrica. Por isso, na prática, o equipamento é considerado inutilizado.

A Cisco disse que sua investigação sobre o ataque não está completa e que ainda não foi possível determinar quais estão sendo as brechas utilizadas pelos invasores para obter acesso não autorizado aos equipamentos e infectá-los (veja lista de dispositivos vulneráveis ao fim da reportagem). Segundo a empresa, o país mais atacado é a Ucrânia. O VPNFilter também guarda algumas semelhanças com o vírus BlackEnergy.

O BlackEnergy é um vírus sofisticado que teria sido responsável por um apagão na Ucrânia. O governo Ucraniano e outras autoridades atribuem a autoria do vírus a agências de segurança russas. O governo russo nega envolvimento no caso.

O alerta da Cisco foi repassado pela Cyber Threat Alliance, um grupo formado por diversas empresas do setor de tecnologia e segurança.

Segundo a fabricante de antivírus Sophos, que repassou o alerta da Cyber Threat Alliance, a existência de um código capaz de “matar” o roteador é uma espécie de “bomba relógio” digital. A empresa também observa que, em alguns casos, o consumidor pode ter problemas para trocar o equipamento, já que os roteadores costumam ser fornecidos pelo provedor de internet.

Na sexta-feira (25), o FBI divulgou um alerta recomendando que usuários reiniciem (desliguem e religuem) seus roteadores para inibir a ação do vírus, já que parte do código não contamina o dispositivo de modo permanente. Para se prevenir da praga, a recomendação é atualizar o software embarcado (firmware), disponível no site do fabricante, para a versão mais recente.

Download oculto em imagem do Photobucket e espionagem

Após contaminar um aparelho, o código do VPNFilter busca o endereço de download do “estágio 2” do ataque. O endereço de download está oculto em fotos no formato JPG armazenadas no Photobucket, um site popular para o compartilhamento de imagens. O vírus é capaz de extrair o endereço de download dos metadados da imagem onde normalmente estariam registradas as coordenadas GPS de onde a foto foi tirada.

O objetivo dessa medida é ocultar o propósito duplo dos arquivos e dificultar a derrubada dos canais que distribuem a praga digital.

Enquanto estiver presente no roteador, o VPNFilter é capaz de observar o tráfego que passa pelo equipamento para realizar espionagem. Segundo a Cisco, é possível que a praga possua diversos outros módulos, capazes de realizar outras atividades, que ainda não foram identificados.

Lista de dispositivos atacados

Segundo a Sophos, um “reflash” do firmware do fabricante é suficiente para garantir que o vírus seja removido do equipamento. Esse procedimento é realizado baixando-se o firmware no site do fabricante e aplicando-o no painel de administração do equipamento.

Quem possui um dos equipamentos abaixo, especialmente se o mesmo estiver desatualizado e com conexão direta à internet — o que normalmente é o caso para esses equipamentos –, deve realizar o procedimento de flashing.

Marca Linksys

  • E1200
  • E2500
  • WRVS4400N

Marca Mikrotik – Versões do RouterOS para Cloud Core

  • 1016
  • 1036
  • 1072

Marca Netgear

  • DGN2200
  • R6400
  • R7000
  • R8000
  • WNR1000
  • WNR2000
Marca Qnap
  • TS251
  • TS439 Pro

Marca TP-Link

  • R600VPN. Informações G1.
Camara Municipal

Fique por dentro de todas as notícias do Paraíba Já nas redes sociais:
Facebook, Twitter e Youtube.

Interaja com o Paraíba Já:
E-mail: [email protected]