Uma nova praga digital chamada VPNFilter, descoberta pelo Talos, a equipe de segurança da Cisco, está atacando a “internet das coisas”, mais especificamente roteadores de rede domésticos. Pelo menos 500 mil dispositivos já foram contaminados com o código, que pode receber comandos de seus criadores. Um desses comandos é o “kill” (“matar”), que tenta apagar a memória flash do dispositivo, inutilizando o equipamento.
A memória flash de roteadores e outros dispositivos da internet das coisas é responsável por armazenar o sistema embutido (ou “firmware”) do aparelho. Diferente de dispositivos de armazenamento padrão, como discos rígidos de computador, não é fácil de extrair a memória flash para reprogramá-la. Sem o código armazenado nessa memória, o dispositivo também não consegue voltar ao estado de fábrica. Por isso, na prática, o equipamento é considerado inutilizado.
A Cisco disse que sua investigação sobre o ataque não está completa e que ainda não foi possível determinar quais estão sendo as brechas utilizadas pelos invasores para obter acesso não autorizado aos equipamentos e infectá-los (veja lista de dispositivos vulneráveis ao fim da reportagem). Segundo a empresa, o país mais atacado é a Ucrânia. O VPNFilter também guarda algumas semelhanças com o vírus BlackEnergy.
O BlackEnergy é um vírus sofisticado que teria sido responsável por um apagão na Ucrânia. O governo Ucraniano e outras autoridades atribuem a autoria do vírus a agências de segurança russas. O governo russo nega envolvimento no caso.
O alerta da Cisco foi repassado pela Cyber Threat Alliance, um grupo formado por diversas empresas do setor de tecnologia e segurança.
Segundo a fabricante de antivírus Sophos, que repassou o alerta da Cyber Threat Alliance, a existência de um código capaz de “matar” o roteador é uma espécie de “bomba relógio” digital. A empresa também observa que, em alguns casos, o consumidor pode ter problemas para trocar o equipamento, já que os roteadores costumam ser fornecidos pelo provedor de internet.
Na sexta-feira (25), o FBI divulgou um alerta recomendando que usuários reiniciem (desliguem e religuem) seus roteadores para inibir a ação do vírus, já que parte do código não contamina o dispositivo de modo permanente. Para se prevenir da praga, a recomendação é atualizar o software embarcado (firmware), disponível no site do fabricante, para a versão mais recente.
Download oculto em imagem do Photobucket e espionagem
Após contaminar um aparelho, o código do VPNFilter busca o endereço de download do “estágio 2” do ataque. O endereço de download está oculto em fotos no formato JPG armazenadas no Photobucket, um site popular para o compartilhamento de imagens. O vírus é capaz de extrair o endereço de download dos metadados da imagem onde normalmente estariam registradas as coordenadas GPS de onde a foto foi tirada.
O objetivo dessa medida é ocultar o propósito duplo dos arquivos e dificultar a derrubada dos canais que distribuem a praga digital.
Enquanto estiver presente no roteador, o VPNFilter é capaz de observar o tráfego que passa pelo equipamento para realizar espionagem. Segundo a Cisco, é possível que a praga possua diversos outros módulos, capazes de realizar outras atividades, que ainda não foram identificados.
Lista de dispositivos atacados
Segundo a Sophos, um “reflash” do firmware do fabricante é suficiente para garantir que o vírus seja removido do equipamento. Esse procedimento é realizado baixando-se o firmware no site do fabricante e aplicando-o no painel de administração do equipamento.
Quem possui um dos equipamentos abaixo, especialmente se o mesmo estiver desatualizado e com conexão direta à internet — o que normalmente é o caso para esses equipamentos –, deve realizar o procedimento de flashing.