Criminosos brasileiros estão comprometendo modems ADSL vulneráveis para alterar os servidores DNS e redirecionar usuários para sites falsos. Eles exploram falhas nos firmwares que permitem acesso remoto e alteração das configurações, como senhas e DNS. Alguns sintomas incluem redirecionamento para páginas falsas de bancos ou serviços de email. É recomendado atualizar o firmware, usar DNS alternativo ou solicitar troca do modem ao provedor.
4. Alguns criminosos brasileiros têm preferido atacar modems e roteadores em vez de infectar diretamente o sistema operacional do
internauta. Eles fazem isso por meio de uma falha de segurança presente em alguns modelos de modems ADSL, alteram o servidor
DNS e depois redirecionam os sites alvo, como os bancos ou grandes portais.
Atacar dispositivos de rede como modems, roteadores e gateways não é algo novo no mundo da segurança. Existem centenas
de exploits e backdoors que permitem a um atacante acessar esses dispositivos remotamente, alterar a configuração ou ter total
controle sobre o equipamento – se ele estiver mal configurado ou vulnerável com uma falha de programação.
Isso porque geralmente esses exploits abusam de falhas de segurança presentes no firmware1 do equipamento, o que lhes permite
ter acesso ao painel de administração. Ali os criminosos podem mudar toda a configuração do equipamento, ver a estrutura da rede
conectada ao dispositivo, entre outros.
No Brasil, isso tem sido usado para invadir modems e alterar os servidores DNS, que estão normalmente configurados para o
provedor, para um sistema controlado pelos criminosos.
Desde meados do ano passado temos presenciado muitos desses ataques no Brasil. No fórum da Linha Defensiva existe
um tópico sobre o assunto, no qual diversos usuários, clientes dos maiores provedores de internet no país, relataram sofrer
redirecionamentos. Cibercriminosos brasileiros comprometeram modems ADSL pelo país, numa onde ataques regulares, silenciosos
e efetivos, com o objetivo de instalar malware nas máquinas ou direcionar as vítimas para sites falsos.
Como funcionam os ataques
Se um modem ADSL está exposto na internet e usa a senha padrão, não é difícil ele ser atacado e os servidores DNSs do
equipamento trocados. Como os números IP são em ordem numérica, os criminosos brasileiros estão utilizando scripts
automatizados que varrem os endereços IP, sequencialmente, buscando um equipamento vulnerável e exposto.
A Linha Defensiva tem observado vítimas entre os mais diferentes provedores de internet, desde grandes até pequenos – isso não é
exclusividade de um ou de outro.
5.
6. Trocar a senha, no entanto, não impede o ataque em alguns modems. Certos aparelhos possuem
uma brecha que permite descobrir a senha remotamente – e os criminosos brasileiros tem tirado
proveito disso também.
Logo após ter acesso, o criminoso irá alterar os servidores DNS e a senha do equipamento. Se o
usuário tentar acessar o painel de administração do modem, não irá conseguir. Nos casos
analisados e reportados por alguns usuários, as senhas usadas pelos criminosos geralmente tem
sido “dnschange”, “dn5ch4ng3” ou “ch4ng3dn5, por exemplo.
Para saber se o modem que você usa é vulnerável, basta tentar acessar o arquivo “password.cgi” no
modem. Se o acesso funcionar, o modem provavelmente é vulnerável, porque a senha estará
revelada no código fonte da página. Um exploitespecífico, tornado público em março de 2011,
consegue explorar esse problema.
Entre os modems confirmados com a falha estão o 500B e o 2640B da D-Link, mas outros
fabricantes como Comtrend e Intelbrás também tem modelos afetados. O problema existe no
chipset da Broadcom, que é usado por vários fabricantes.
7. Sintomas: como saber se fui
atacado?
É preciso verificar a configuração
de DNS do roteador para ter
certeza, mas normalmente há
alguns sintomas visíveis.
Nos primeiros ataques
registrados os usuários eram
direcionados pelo DNS malicioso
configurado no equipamento para
uma página maliciosa oferecendo
um suposto “Google Defence”:
8. Algumas vezes, por problema de
sobrecarga nos servidores de DNS
maliciosos as vitimas viam uma
página de hospedagem ao tentar
acessar portais web populares:
9. Nos piores ataques os usuários estão sendo direcionados para páginas falsas de banco, nas quais as credencias são roubadas. Há
também relatos de páginas falsas de serviços de webmail como Gmail, Hotmail, e outros. Nos ataques monitorados pela Linha
Defensiva observou-se que vários modems ADLS comprometidos direcionavam para páginas falsas de banco em apenas alguns
horários do dia, para não levantar suspeita do usuário.
Lembre-se: com os servidores DNS alterados no seu modem todo o trafego de internet do seu computador pode ser monitorado.
Como se Proteger dos ataques?
Existe um procedimento bastante simples que permite saber se seu modem ADSL está vulnerável e suscetível a ataques:
Descubra o IP que seu modem está usando. Isso pode ser feito por meio da configuração de “Gateway” na sua configuração de rede
e, em alguns casos, o IP externo também funciona. Você pode descobri-lo visitando sites como ohttp://www.omeuip.com
Abra seu navegador e digite na barra de endereço: http://[ip do seu modem]/password.cgi
Verifique o código fonte da página que será exibida. Se seu modem estiver vulnerável você verá a senha do equipamento.
Caso seu modem esteja vulnerável ou não, é necessário tomar alguma atitude:
Atualize o firmware do seu modem. Geralmente no site da fabricante você verá o download disponível gratuitamente conforme o
modelo. Porém para fazê-lo é necessário extremo cuidado, pois uma atualização problemática pode fazer o equipamento parar de
funcionar. Se não souber como fazer, não faça! Solicite ajuda ao seu provedor de internet.
Outra possibilidade é usar o modem no modo Bridge
Force o uso de servidores DNS alternativos (como o Google DNS ou o OpenDNS) diretamente nas configurações da placa de rede (no
sistema operacional).
Configure seu modem do modo correto: desative serviços como o acesso HTTP através da porta WAN, configure uma senha de
acesso ao painel de configuração, troque as senhas padrões e portas padrões .
Se nada disso resolver, solicite ao seu provedor de internet a troca do modem por outro modelo.
Verifique a presença e a autencidade dos certificados de segurança presente em conexões HTTPS. Várias páginas falsas não os
exibem.
Firmware é o conjunto de instruções operacionais programadas diretamente no hardware de um equipamento eletrônico. É
armazenado permanentemente num circuito integrado de memória de hardware.