Seu roteador está trabalhando secretamente para inteligências estrangeiras?

Por que os invasores avançados estão interessados nos seus pontos de acesso Wi-Fi domésticos e como eles mantêm o controle sobre os seus dispositivos.

Uma violação de milhares de roteadores domésticos ASUS recentemente divulgada mostra que o seu ponto de acesso Wi-Fi doméstico não é apenas útil para você (e possivelmente para os seus vizinhos), como também é cobiçado por cibercriminosos e até mesmo por hackers patrocinados por governos em ataques de espionagem direcionada. Esse novo ataque, presumivelmente ligado ao infame grupo APT31, ainda está em andamento. O que o torna especialmente perigoso é a sua natureza furtiva e a abordagem não convencional necessária para se defender contra ele. É por isso que é crucial entender por que os agentes maliciosos têm como alvo os roteadores, além de como se proteger desses truques de hackers.

Como os roteadores comprometidos são explorados

  • Proxy residencial. Quando os hackers têm como alvos grandes empresas ou agências governamentais, os ataques são frequentemente detectados por endereços IP incomuns que tentam acessar a rede segura. É altamente suspeito quando uma empresa opera em um país, mas um funcionário de repente faz login na rede corporativa de outro país. Os logins de endereços de servidor VPN conhecidos são igualmente suspeitos. Para mascarar as suas atividades, os cibercriminosos usam roteadores comprometidos localizados no país e às vezes até em uma cidade específica, próximos ao alvo pretendido. Eles canalizam todas as solicitações por meio do roteador, que então encaminha os dados para o computador de destino. Para os sistemas de monitoramento, isso parece apenas um funcionário comum acessando os recursos de trabalho de casa, nada que cause desconfiança.
  • Servidor de comando e controle. Os invasores podem hospedar malware no dispositivo comprometido para que os computadores alvo façam download. Ou, inversamente, eles podem extrair dados da rede diretamente para o roteador.
  • Honeypot para concorrentes. Um roteador pode ser usado como isca (um honeypot) para estudar as técnicas usadas por outros grupos de hackers.
  • Plataforma de mineração. Qualquer dispositivo de computação pode ser usado para mineração de criptomoedas. Usar um roteador para mineração não é particularmente eficiente, mas, quando um cibercriminoso não está pagando pela eletricidade nem pelo equipamento, ainda assim vale a pena para ele.
  • Ferramenta de manipulação de tráfego. Um roteador comprometido pode interceptar e alterar o conteúdo das conexões com a Internet. Isso permite que os invasores tenham como alvo qualquer dispositivo conectado à rede doméstica. A variedade de aplicativos para essa técnica é ampla: desde o roubo de senhas até a injeção de anúncios em páginas da web.
  • Bot de DDoS. Qualquer dispositivo doméstico (incluindo roteadores, babás eletrônicas, alto-falantes inteligentes e até chaleiras inteligentes) pode ser vinculado a uma botnet e usado para sobrecarregar qualquer serviço on-line com milhões de solicitações simultâneas desses dispositivos.

Essas opções atraem vários grupos de invasores. Embora os ataques de mineração, injeção de anúncios e DDoS sejam normalmente do interesse de criminosos cibernéticos motivados financeiramente, os ataques direcionados lançados por trás de um endereço IP residencial geralmente são executados por gangues de ransomware ou por grupos envolvidos em espionagem genuína. Isso soa como algo saído de um romance de espionagem, mas é tão difundido que a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) e o FBI emitiram vários alertas sobre isso várias vezes. Fiéis à própria forma, os espiões operam com máxima discrição, de modo que os proprietários de roteadores raramente percebem que os seus dispositivos estão sendo usado para mais do que a finalidade pretendida deles.

Como os roteadores são invadidos

As duas formas mais comuns de invadir um roteador são forçando a senha da interface de administração (ataque de força bruta) e explorando vulnerabilidades de software no firmware do dispositivo. No primeiro cenário, os invasores se aproveitam do fato de os proprietários deixarem o roteador com as configurações de fábrica e a senha no padrão admin, ou alteraram a senha para algo simples de lembrar e fácil de adivinhar, como 123456. Depois de decifrar a senha, os invasores podem efetuar login no painel de controle, como o proprietário faria.

No segundo cenário, os invasores investigam remotamente o roteador para identificar o seu fabricante e modelo e, em seguida, tentam as vulnerabilidades conhecidas, uma a uma, para assumir o controle do dispositivo.

Normalmente, após uma invasão bem-sucedida, eles instalam malware oculto no roteador para executar as funções desejadas. Você pode perceber que algo está errado quando a Internet estiver lenta, a CPU do roteador estiver trabalhando horas extras ou o próprio roteador começar a superaquecer. Uma redefinição de fábrica ou atualização de firmware geralmente elimina a ameaça. No entanto, os recentes ataques aos roteadores ASUS foram uma história diferente.

O que torna os ataques ASUS diferentes e como identificá-los

A principal coisa sobre esse ataque é que você não pode corrigi-lo com uma simples atualização de firmware. Os invasores configuram um backdoor oculto com acesso administrativo que persiste por meio de reinicializações regulares e atualizações de firmware.

Para iniciar o ataque, o agente malicioso emprega ambas as técnicas descritas acima. Se a força bruta contra a senha do administrador falhar, os invasores explorarão duas vulnerabilidades para ignorar completamente a autenticação.

A partir desse ponto, o ataque se torna mais sofisticado. Os invasores usam outra vulnerabilidade para ativar o recurso de gerenciamento remoto SSH integrado do roteador. Em seguida, eles adicionam a própria chave criptográfica deles às configurações, o que permite que eles se conectem ao dispositivo e o controlem.

Poucos usuários domésticos gerenciam os seus roteadores usando SSH ou verificam a seção de configurações onde as chaves administrativas estejam listadas. Portanto, essa técnica de acesso pode passar despercebida por anos.

Todas as três vulnerabilidades exploradas neste ataque já foram corrigidas pelo fornecedor. No entanto, se o roteador tiver sido comprometido anteriormente, a atualização do firmware não removerá o backdoor. Você precisa abrir as configurações do roteador e verificar se um servidor SSH está ativado e recebendo pacotes na porta 53282. Em caso afirmativo, desative o servidor SSH e exclua a chave SSH administrativa, que começa com os caracteres

AAAAB3NzaC1yc2EA

Se você não tiver certeza de como fazer tudo isso, há uma solução mais drástica: uma redefinição completa de fábrica.

Não se trata apenas da ASUS

Os pesquisadores que descobriram o ataque à ASUS acreditam que ele faz parte de uma campanha mais ampla que atingiu cerca de 60 tipos de dispositivos domésticos e corporativos, incluindo sistemas de vigilância por vídeo, caixas NAS e servidores VPN usados em escritórios. Os dispositivos afetados incluem D-Link DIR-850L S, Cisco RV042, Araknis Networks AN-300-RT-4L2W, Linksys LRT224 e alguns dispositivos QNAP. Os ataques a eles se desenrolam de forma um pouco diferente, mas compartilham os mesmos recursos gerais: explorar vulnerabilidades, usar funções integradas do dispositivo para obter controle e manter a discrição. De acordo com as avaliações dos pesquisadores, os dispositivos comprometidos estão sendo explorados para redirecionar o tráfego e monitorar as técnicas de ataque empregadas por agentes de ameaças rivais. Esses ataques são atribuídos a um grupo de hackers “com bons recursos e altamente capaz”. No entanto, técnicas semelhantes foram adotadas por grupos de ataque direcionados em todo o mundo, e é por isso que os roteadores domésticos em qualquer país moderadamente grande agora são um alvo atraente para eles.

Sugestões e dicas

O ataque aos roteadores domésticos ASUS exibe sinais clássicos de intrusões direcionadas: furtividade, comprometimento sem usar malware e a criação de canais de acesso persistentes que permanecem abertos mesmo depois que a vulnerabilidade é corrigida e o firmware é atualizado. Então, o que um usuário doméstico pode fazer para se defender contra esses invasores?

  • A sua escolha de roteador é importante. Não se contente com o roteador padrão que o seu provedor concede para você e não compre a opção mais barata. Navegue pelas seleções em revendedores de produtos eletrônicos e escolha um modelo lançado nos últimos dois anos para ter certeza de receber atualizações de firmware nos próximos anos. Tente escolher um fabricante que leve a segurança a sério. Isso é complicado, pois não há opções perfeitas por aí. Geralmente, você pode usar a frequência das atualizações de firmware e o período de suporte declarado pelo fabricante como um guia. Você pode encontrar as notícias mais recentes sobre segurança de roteadores em sites como o Router Security, mas não espere encontrar nenhuma “boa história” por lá, já que o site é mais útil para identificar os “anti-heróis”.
  • Atualize o firmware do dispositivo regularmente. Se o roteador oferecer um recurso de atualização automática, é melhor ativá-lo para que você não precise se preocupar com atualizações manuais ou atrasos. Ainda assim, é uma boa ideia verificar o status, as configurações e a versão do firmware do roteador algumas vezes por ano. Se você não recebeu uma atualização de firmware entre 12 e 18 meses, talvez seja hora de considerar a substituição do roteador por um modelo mais recente.
  • Desative todos os serviços desnecessários no seu roteador. Percorra todas as configurações e desative todos os recursos ou extras que você não usa.
  • Desative o acesso administrativo ao roteador pela Internet (WAN) usando todos os canais de gerenciamento (SSH, HTTPS, Telnet e qualquer outro).
  • Desative os aplicativos de gerenciamento de roteadores móveis. Embora convenientes, esses aplicativos apresentam uma série de novos riscos. Além do seu smartphone e roteador, um serviço de nuvem proprietário provavelmente estará envolvido. Por esse motivo, é melhor desativar esse método de desativar o gerenciamento e evitar usá-lo.
  • Altere as senhas-padrão da administração do roteador e do acesso Wi-Fi. Essas senhas não devem se corresponder entre si. Elas devem ser longas e não devem consistir em palavras ou números óbvios. Se o seu roteador permitir, altere o nome de usuário do administrador para algo exclusivo.
  • Use a proteção abrangente para a sua rede doméstica. Por exemplo, Kaspersky Premium vem com um módulo de proteção de casa inteligente que monitora problemas comuns, como dispositivos vulneráveis e senhas fracas. Se o Smart Home Monitor detectar pontos fracos ou um novo dispositivo na sua rede que você não identificou anteriormente como conhecido, ele o alertará e fornecerá recomendações para proteger a sua rede.
  • Verifique cada página da configuração do roteador. Procure os seguintes sinais suspeitos: (1) encaminhamento de porta para dispositivos desconhecidos na sua rede doméstica ou na Internet, (2) novas contas de usuário que você não criou, e (3) chaves SSH desconhecidas ou quaisquer outras credenciais de login. Se você encontrar algo assim, pesquise on-line pelo modelo do roteador junto com as informações suspeitas que você descobriu, como um nome de usuário ou endereço de porta. Se você não encontrar nenhuma menção ao problema descoberto como um recurso de sistema documentado do roteador, remova esses dados.
  • Assine o nosso Canal do Telegram e mantenha-se atualizado sobre todas as notícias de segurança cibernética.

Para mais dicas sobre como escolher, configurar e proteger os seus dispositivos domésticos inteligentes, além de informações sobre outras ameaças de hackers que visam os seus eletrodomésticos, confira estas postagens:

Dicas