Os pesquisadores de segurança da BCMUPnP_Hunter botnet que parece ser dirigida especificamente contra dispositivos da Internet das coisas. Ele tem como alvo uma vulnerabilidade de idade de cinco anos que parece ser deixada sem correção por muitos dispositivos. Desde é o lançamento que desde então tem infectado sobre 100,000 dispositivos da Internet das coisas.
O botnet Bcmupnp_Hunter mostra como dispositivos IoT sem patch podem ser facilmente adquiridos
Uma equipe de segurança publicou um relatório com detalhes sobre um novo botnet IoT chamado Bcmupnp_Hunter que usa um exploit de cinco anos. Isso mais uma vez confirma que os usuários e, em alguns casos, os fornecedores e fabricantes de dispositivos não lançam atualizações para corrigir esses problemas no devido tempo. Os primeiros ataques foram relatados em setembro e se espalharam rapidamente para dispositivos em todo o mundo. Lembramos aos nossos leitores que o [wplinkpreview url =”https://sensorstechforum.com/botnet-activity-2018-increased-distribution-rats/”]atividade de botnet em 2018 mostra que há um aumento na distribuição de RATs. Uma mudança na estratégia pode transformar isso em um dispositivo de distribuição de malware muito perigoso.
O verdadeiro bug através do qual as infecções são realizadas foi descoberto em 2013 e faz parte das especificações UpNP. Este protocolo é usado para configurar e acessar os dispositivos IoT da rede interna. Parece que muitos fornecedores implementaram a pilha do Broadcom SDK sem aplicar todos os patches mais recentes que corrigem os problemas conhecidos. Como um resultado usuários mal-intencionados podem executar códigos remotamente sem ser autenticado nos dispositivos. Isso é classificado como uma vulnerabilidade crítica, pois permite que qualquer usuário mal-intencionado com acesso a informações sobre o problema do SDK obtenha controle dos sistemas com apenas alguns comandos.
O mecanismo de operação é básico - uma vez ativado, o botnet fará a varredura de toda uma gama de redes carregadas pelos operadores do hacker. Eles irão verificar o número da porta UPnP exposta: 5431 para um serviço disponível. Se tal for detectado, a vulnerabilidade será lançada e usando o código de exploração, o botnet irá automaticamente adquirir o controle do dispositivo vítima. Até agora, a maioria das vítimas está localizada na Índia, os EUA e China.
A análise de segurança realizada no botnet Bcmupnp_Hunter mostra que esta ameaça particular parece ter um mecanismo de infecção complexo e em vários estágios. É demonstrado no fato de que não apenas os dispositivos estão infectados, mas também que eles são imediatamente recrutados para a botnet. Os especialistas também descobriram um função secundária - para usar os dispositivos infectados como nós proxy e conexões de retransmissão.
Espera-se que o botnet continue recrutando nós enquanto houver dispositivos vulneráveis. Eles são extremamente úteis ao orquestrar DDoS (ataques distribuídos de negação de serviço) contra metas governamentais ou corporativas. Eles podem ser alugados para hackers individuais ou coletivos criminosos ou usados por seus operadores para outros fins.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: