Cada vez mais dispositivos estão utilizando dos recursos da internet para modernizar suas aplicações e fornecer novas ferramentas aos usuários e, com a crescente conectividade destes equipamentos, também tem-se observado uma crescente sofisticação de hackers para desenvolver técnicas que possam infectar estes produtos com a finalidade de roubar dados ou mesmo “poder computacional”.
Jakub Kroustek, Vladislav Iliushin, Anna Shirokova, Jan Neduchal e Martin Hron, pesquisadores da Avast, uma das principais empresas de cibersegurança do mundo, identificaram uma nova e sofisticada rede zumbi, chamada Torii, que usa técnicas avançadas de infecção e tem como alvo uma ampla gama de dispositivos IoT (Internet das Coisas). Os pesquisadores analisaram pela primeira vez o novo ataque por meio dos dispositivos inteligentes sequestrados.
Ao contrário de outras redes zumbis de dispositivos IoT, a Torii procura se esconder e manter-se viva depois de infectar os dispositivos. Ela (ainda) não faz ataques DDoS comuns nas redes zumbis, nem ataca todos os dispositivos conectados à internet e nem mesmo minera criptomoedas, funções que pode executar a qualquer momento, ao invés disso, a Torii rouba informações confidenciais dos dispositivos infectados e, devido à sua arquitetura modular, é capaz de buscar e executar outros comandos avançados. Tudo isso escondido, por trás de várias camadas criptografadas.
A Torii pode infectar uma ampla gama de dispositivos e arquiteturas, incluindo MIPS, ARM, x86, x64, Motorola 68k, PowerPC, SuperH e outros. Definitivamente, é o ataque que atinge o maior conjunto de equipamentos diferentes já visto pelos pesquisadores da Avast. De acordo com o grupo, a operação está em andamento desde dezembro do ano passado ou antes, surgindo no tuíte de @VessOnSecurity. Segundo este pesquisador, os ataques chegavam através da rede Tor e, por isso, foi nomeada rede zumbi Torii.
A Torii é um exemplo da evolução de malware IoT e devido à sua sofisticação, pode ter sido projetada para mapear e controlar um grande número de tipos de dispositivos. Uma vez infectado, o dispositivo não apenas envia informações sobre a máquina ao servidor CnC, mas, ao se comunicar com esse servidor, permite que os autores da Torii executem qualquer código ou baixem qualquer carga ou malware no dispositivo sequestrado, desde scripts de mineração até outras aplicações. Por isso, a Torii pode tornar-se uma plataforma modular para uso futuro, multiplicando os tipos de ataques a serem executados.
Confira nossas sugestões de Pre-Sales para investir agora
Estima-se que o servidor CnC descoberto pode ser apenas um dentre muitos outros capazes de infectar novos dispositivos. No entanto, apenas uma análise mais profunda poderá revelar o verdadeiro escopo dessa rede zumbi e até onde ela pode chegar.
Como o ataque acontece?
Primeiramente, o ataque sofisticado mira as credenciais fracas (usuário e senha) dos dispositivos IoT. Quando o código detecta a arquitetura do dispositivo, ele usa vários comandos para baixar e executar com sucesso os comandos criptografados. Então, para se manter viva e ativa na rede, a Torii “blinda” a próxima fase por seis métodos, sempre por criptografia.
A seguir, um código robô executa os comandos do servidor CnC e conta com várias técnicas para se esconder de possíveis programas de segurança de rede. Por exemplo, durante 60 segundos, hiberna o robô e usa nome de processos aleatórios para evitar a sua detecção imediata por listas negras. Cada versão do malware tenta entrar em contato com o servidor CnC, por meio da porta TCP 443, usando outras camadas de criptografia AES-128.
O malware é capaz de extrair várias informações confidenciais para criar uma identificação exclusiva da vítima e gerar um catálogo de dispositivos infectados, que passam a fazer parte de uma rede zumbi. Durante o período analisado, foram recrutados 592 clientes diferentes.