Botnets IoT: o lado escuro do código aberto

Sem dúvida, o software de código aberto tem sido importante para os desenvolvedores. Inicialmente visto com desconfiança pelo mundo do software comercial, conquistou um amplo espaço no mainstream, como demonstra a força de plataformas como Linux, Apache e Firefox. E os próprios desenvolvedores de software comercial adotaram os componentes de código aberto pela flexibilidade e economia que representam, além de todo o suporte que a vasta comunidade do código aberto oferece.

Porém, como em tantas histórias de sucesso da tecnologia, também há um lado negativo no código aberto. Seu princípio fundamental é estar à disposição, gratuitamente, de qualquer pessoa, para qualquer finalidade. Na maioria das vezes, o código aberto não é utilizado com má intenção. Mas nem sempre é assim.

O código-fonte do Mirai foi publicado em 30 de setembro de 2016, e logo se tornou instrumento para a disseminação de malware na Internet das Coisas. As redes e os dispositivos IoT vêm se multiplicando aceleradamente – estima-se que 27 bilhões desses dispositivos tenham sido conectados até o final de 2017. A pressão para obter dados a partir desses dispositivos acarretou negligência em termos de segurança, e é notório que os equipamentos de IoT tendem a ser vulneráveis. Não surpreende, portanto, o fato de serem alvos de hackers buscando entrar nas redes corporativas às quais estão conectados. Por meio de mecanismos automatizados, semelhantes a worms, o malware criado com o código-fonte do Mirai pode rapidamente comandar centenas de dispositivos em botnets IoT, e usá-los para lançar ataques dentro e fora da rede à qual pertencem.

No primeiro Relatório Anual de Inteligência de Ameaças da NETSCOUT, nossos pesquisadores revelam que os criadores de botnets IoT usaram o Mirai para construir pelo menos cinco variantes. O Satori (palavra japonesa que, para os budistas, significa iluminação), por exemplo, utiliza exploits para injeção remota de código, um aprimoramento do Mirai. Já no caso do JenX, foram removidas várias funcionalidades do código original e utilizadas ferramentas externas para varredura e exploração.

O OMG também faz parte do legado do Mirai. Ele adiciona um novo recurso, na forma de um proxy HTTP e SOCKS. Isso permite que o dispositivo de IoT infectado funcione como um ponto central capaz de oferecer ao criador da bot flexibilidade para lançar scans em busca de novas vulnerabilidades ou novos ataques, sem precisar atualizar o binário original. Dependendo do tipo de dispositivo IoT e de como ele esteja conectado, quem controla a bot pode atacar as redes privadas conectadas ao dispositivo infectado. Em outras palavras, os dispositivos IoT de uma organização podem ser usados contra ela própria, lançando, de dentro da rede, ataques contra os recursos que possuem.

Uma outra variante, denominada Wicked, apareceu em maio de 2018, direcionada a roteadores Netgear e dispositivos CCTV-DVR. O mais novo subproduto do Mirai é o IoTrojan, que explora uma vulnerabilidade de execução remota de código nos roteadores Huawei HG532.

O Reaper usa uma parte do código-fonte do Mirai, mas é significativamente diferente dele em pontos importantes, incluindo uma evolução que lhe permite recrutar mais sutilmente novos recursos e facilmente esconder sua atuação do radar de ferramentas de segurança em busca de atividades suspeitas em redes locais.

A utilização e modificação de malware de código aberto não é um fato novo e não se limita ao Mirai. Por exemplo, recentemente, o malware de IoT VPNFilter conseguiu infectar meio milhão de roteadores em 54 países. VPNFilter – que afetou os dispositivos de rede Linksys, MikroTik, NETGEAR, TP-Link e QNAP e deriva do malware Black Energy, já anteriormente observado e atribuído a hackers russos.

O objetivo do malware VPNfilter não é simplesmente usar o dispositivo IoT comprometido para iniciar um ataque DDoS. O malware VPNFilter é muito mais sofisticado, pois usa várias operações de terceiro estágio após a infecção inicial. Uma dessas funções é conduzir um clássico ataque “man-in-the-middle”, capturando dados em uma rede conectada ao dispositivo infectado, para reunir credenciais, controle de supervisão e informações. Os dados são então criptografados e exfiltrados por meio de uma rede Tor. Também pode servir como um ponto de retransmissão para ocultar a origem dos ataques subsequentes.

À medida que os dispositivos de IoT continuam a se multiplicar, podemos esperar que as botnets IoT avancem, cada vez mais “armados” como uma ferramenta de horror a ser usada não só por hacktivistas comuns, mas também por grupos de APT bem organizados ligados a estados. No mínimo, é preciso que as organizações que possuem redes IoT estabeleçam políticas e sigam as melhores práticas relativas a patches e atualizações, de modo a evitar as vulnerabilidades mais básicas dos dispositivos. Além disso, reconhecendo o enorme poder de que as botnets IoT são capazes, os profissionais de segurança devem ter visibilidade total de suas redes e implementar defesas multicamada contra os ataques DDoS, que possam detectar e conter ataques desde os mais sutis até os grandes ataques volumétricos. As equipes de segurança também devem contar com recursos de inteligência de ameaças com contexto global, de modo a entender o fenômeno das bots IoT e reconhecer as características de uma campanha enquanto ela ainda está tomando forma.

Assim como as drogas químicas, que tanto salvam vidas como produzem vícios mortais, o movimento de códigos abertos também pode apresentar consequências negativas. Adversários são inteligentes e empregarão os meios disponíveis para explorar as vulnerabilidades das redes de que tanto dependem hoje a nossa comunicação e a nossa economia. Vigilância e uma postura de defesa são essenciais para a proteção contra a crescente ameaça de botnets IoT.