Um grupo de pesquisadores da Avast – Jakub Kroustek, Vladislau Iliushin, Anna Shirokova, Jan Neduchal e Martin Hron – analisou pela primeira vez um novo ataque através de dispositivos IoT sequestrados.
Em 2018, cresceram as variantes das redes zumbis Mirai e Qbot, pois o código-fonte da Mirai vazou na internet. Mas agora (20/09/2018), nossos pesquisadores observaram um novo malware, que foi chamado de Torii, e que usa técnicas muito mais avançadas.
Ao contrário das outras redes zumbis de dispositivos IoT, a Torii procura se esconder e manter-se viva depois de infectar os dispositivos. Ela (ainda) não faz os ataques DDoS comuns nas redes zumbis, nem ataca todos os dispositivos conectados à internet, nem faz mineração de moedas digitais. Em vez disso, ela rouba informações (confidenciais) dos dispositivos infectados e a sua arquitetura modular é capaz de buscar e executar outros comandos avançados, tudo isso escondido por trás de várias camadas criptografadas.
A Torii pode infectar uma ampla gama de dispositivos e arquiteturas, incluindo MIPS, ARM, x86, x64, Motorola 68k, PowerPC, SuperH e outros. Definitivamente, é o ataque que atinge o maior conjunto de equipamentos diferentes que já vimos.
Essa operação está em andamento desde dezembro de 2017, talvez antes e apareceu no tuíte de @VessOnSecurity.
De acordo com este pesquisador de segurança, os ataques chegavam através da rede Tor e, por isso, decidimos nomear esta linhagem de rede zumbi Torii. Um total de 206 IPs únicos se conectaram ao servidor dos cibercriminosos nos dias 7, 8, 19 e 20 de setembro.
O estudo técnico completo e as características do ataque estão sendo atualizados na postagem original, mas em termos (um pouco mais) acessíveis pode-se dizer que:
- O vetor de infecção começa com um ataque sofisticado às fracas credenciais (usuário e senha) dos dispositivos IoT.
- O código detecta a arquitetura do dispositivo e usa vários comandos para ter sucesso em baixar e executar os comandos criptografados desta fase: um conta-gotas do que acontecerá mais adiante.
- Para se manter viva e continuamente atuante, a próxima fase está “blindada” por seis métodos, sempre debaixo de criptografia.
- Um código robô executa os comandos do servidor CnC e conta com várias técnicas para se esconder dos possíveis programas de segurança de rede, por exemplo, hiberna o robô durante 60 segundos para evitar a sua detecção imediata e usa nome de processos aleatórios para evitar a detecção por listas negras.
- Cada versão do malware tenta entrar em contato com o servidor CnC através da porta TCP 443, usando outras camadas de criptografia AES-128.
- O malware extrai várias informações confidenciais para criar uma identificação exclusiva da vítima e a criar um catálogo de dispositivos infectados.
- Os dispositivos infectados passam a fazer parte da rede zumbi (no período de tempo analisado, foram recrutados 592 clientes diferentes).
Conclusões (até agora)
Não podemos especular sobre o que não temos dados e evidências, mas o servidor CnC que foi descoberto pode ser apenas um dentre os vários servidores que podem infectar novos dispositivos, mas apenas uma análise mais aprofundada revelará o verdadeiro escopo dessa rede zumbi e até onde eles podem – ou poderiam – chegar. Lembramos que em 2016, a rede zumbi Mirai derrubou muitos sites importantes e quase paralisou a internet.
Dado o nível de sofisticação do malware, parece provável que ele seja projetado para mapear e controlar um grande número de vários tipos de dispositivos. A Torii é um exemplo da evolução dos malwares IoT e que a sua sofisticação está acima de qualquer outra que já encontramos anteriormente.
Uma vez que um dispositivo é infectado, ele não apenas envia informações sobre a máquina ao servidor CnC, mas, ao se comunicar com esse servidor, permite que os autores da Torii executem qualquer código ou baixem qualquer carga ou malware no dispositivo infectado. Isso sugere que a Torii pode – ou poderia – se tornar uma plataforma modular para uso futuro, multiplicando os tipos de ataques a serem executados.