Em setembro de 2016, o Twitter, a CNN, o Spotify e muitos outros foram bloqueados pelo maior ataque de DDoS da história. A força por trás do ataque era uma botnet conhecida como Mirai. Na época, ninguém esperava que um arsenal de dispositivos de Internet das Coisas (da sigla em inglês IoT, Internet of Things), fosse montado para formar uma botnet por trás de um ataque tão massivo.
Recentemente, a equipe de inteligência de ameaças da Avast analisou um grupo de sete novas variantes do Mirai e investigou quem poderia estar por trás delas. Os resultados mostraram que os cibercriminosos por trás delas estão alugando essas botnets, como um serviço para os outros.
A alteração do código Mirai, para liberar e distribuir uma nova versão da botnet, é relativamente simples. Enquanto isso, as investigações da Avast apontaram que é possível que um script relativamente inexperiente esteja por trás dessas sete versões, capazes de causar grandes danos.
Lançamento do código-fonte do Mirai, incentiva a criação de novas variantes da botnet
Depois de derrubar grande parte da internet, o criador do malware Mirai, auto-denominado "Anna-Senpai", lançou o código-fonte. O código Mirai rapidamente se tornou um framework, como um template. Com isso, qualquer um que encontre uma nova maneira de explorar um novo dispositivo, pode simplesmente adicioná-lo – o que criaria uma “nova” variante de botnet. Recentemente, o usuário do Twitter @400kQBOT divulgou um link com o código-fonte de sete variantes do Mirai. A equipe de inteligência de ameaças da Avast começou a investigar as suas origens. As investigações da equipe levaram à suposição de que um cibercriminoso nomeado Scarface#1162 pode estar por trás das sete variantes de botnets, alugando o acesso à elas como um serviço, inclusive promovendo-as no YouTube e no Twitter. A suposição da equipe, de que 400kQbot e Scarface eram a mesma pessoa, foi confirmada em meados de setembro último. Isto, depois que ele se identificou em um tweet do 400kQBot.
Um olhar mais profundo sobre as variantes do Mirai
Observando de perto as sete novas variantes do Mirai, a equipe de inteligência de ameaças da Avast descobriu que elas diferem da versão original com relação à lista de senhas. Elas fazem uso de força bruta em dispositivos IoT vulneráveis, nas portas que acessam, bem como em arquiteturas.
Combinações de Credenciais: Com relação às combinações de credenciais, o código Mirai original usava uma lista de sessenta e duas senhas altamente codificadas para executar um ataque de força bruta (ataque de dicionário) contra os dispositivos IoT vulneráveis. Ao analisar as variantes, a equipe da Avast descobriu que a lista de senhas é alterada por bot.
A equipe recuperou e decodificou todas as senhas usadas por cada variante, para descobrir se a lista de senhas do código Mirai foi reutilizada e se há alguma sobreposição. A maior lista de senhas foi implementada na variante Saikin com oitenta senhas, onde apenas quatro se sobrepõem ao código original do Mirai. Ao optar pela implementação de uma lista de senhas diferentes, é provável que o invasor tenha como alvo uma diversidade maior de dispositivos IoT.
Novas Portas: Assim como o Mirai, todas as suas variantes possuem um módulo killer.c, que tem vários propósitos. Primeiro, esse módulo se livra de outro malware possivelmente em execução no dispositivo atual. Segundo, ele impede que as outras pessoas obtenham o acesso remoto ao dispositivo por meio de um Telnet, SSH ou HTTP.
Análises revelaram que, além de haver portas padrão kill do Mirai, cinco das sete variantes (exceto Saikin e Josho_V3) adicionaram um novo protocolo ou portas específicas do dispositivo às suas listas alvo. Adicionalmente, essas portas permitiriam que o autor da botnet se conectasse com mais dispositivos e, ao mesmo tempo, impedisse que as outras pessoas acessassem tais dispositivos remotamente.
Novas Arquiteturas: Todas as variantes do Mirai que a equipe de inteligência de ameaças da Avast analisou, tinham como alvo as mesmas arquiteturas do Mirai. Apenas três delas: Sora, Saikin e Akiru adicionaram duas novas arquiteturas: ARC (Argonaut RISC Core) e RCE (Motorola RCE).
A equipe de inteligência de ameaças explica: “A nossa análise revelou que, embora as novas variantes não sejam notáveis em suas alterações do código-fonte original do Mirai, elas podem causar muitos danos.
Dentre os seus objetivos está o direcionamento de diferentes e um maior número de dispositivos IoT do que a variante Mirai original, por meio das variações das listas de senhas aplicadas em ataques de força bruta e adicionando novas portas ao seu destino.
Quanto mais variantes da botnet existirem, mais prejuízos poderão ser causados – e, para o usuário, isso significa que a ameaça é real. Caso um dispositivo doméstico seja atacado, como uma babá eletrônica ou um roteador, então, o cibercriminoso também poderá acessar todos os demais dispositivos da casa.
Os usuários devem alterar as senhas padrão dos dispositivos, para senhas mais complexas. Também é importante atualizar o firmware, sempre que as novas atualizações estiverem disponíveis”.
A Avast recomenda os seguintes passos para a proteção dos dispositivos IoT e de uma casa inteligente:
1 – Altere a senha padrão do administrador no roteador e de todos os dispositivos IoT, enquanto faz as configurações;
2 – Mantenha os dispositivos em dia, com relação às atualizações mais recentes do firmware;
3 – Desative o gerenciamento remoto na página de configurações do roteador;
4 – Se não tiver certeza que o dispositivo foi infectado, considere a redefinição do dispositivo para as configurações do fabricante e, então, repita o passo a passo a partir etapa 1.
A comparação e análise das variantes, incluindo nomes, combinações de credenciais, portas, arquiteturas e detalhes do script kiddie por trás das variantes, podem ser encontradas no blog da Avast: https://blog.avast.com/hacker-creates-seven-new-variants-of-the-mirai-botnet