Uma nova botnet, composta por cerca de 100 mil roteadores domésticos, cresceu silenciosamente nos últimos dois meses. Apresentado pela primeira vez em setembro pela equipe da Netlab no Qihoo 360, o ataque vem explorando uma vulnerabilidade conhecida há cinco anos para se espalhar. De acordo com as evidências atuais, os operadores do sistema parecem usar os roteadores infectados para se conectarem aos serviços de webmail e, provavelmente, estão enviando campanhas massivas de spam por email.

Para quem não sabe, uma botnet é uma rede de máquinas infectadas por bots (robôs) que, por sua vez, são softwares maliciosos que se espalham de maneira autônoma, aproveitando vulnerabilidades que podem ser exploradas remotamente, como senhas fáceis de adivinhar ou mesmo usuários mal informados que executam inadvertidamente arquivos recebidos pela Internet.

Falha aproveitada por ataque está em milhares de roteadores

A vulnerabilidade foi descoberta em 2013 por pesquisadores de segurança da DefenseCode e reside na Broadcom UPnP, uma parte do software que está presente em milhares de modelos de roteadores de vários fornecedores.

A brecha permite que um invasor execute código mal-intencionado em um roteador vulnerável sem precisar autenticar a senha, e é o pior tipo de vulnerabilidade existente no mundo dos dispositivos conectados à Internet.

Vários botnets já abusaram dessa falha no passado, mas o Netlab apelidou essa última de botnet BCMUPnP_Hunter. O nome vem das constantes varreduras da botnet para roteadores com interfaces UPnP expostas.

Esse botnet é diferente da maioria dos botnets IoT que estão atualmente ativos. A maioria dos atuais depende do código-fonte que vazou online, mas o BCMUPnP_Hunter é totalmente novo.

“Não encontramos código semelhante usando mecanismos de busca”, disse Hui Wang, um dos dois pesquisadores da Netlab que analisaram a fonte da botnet.

“Parece que o autor tem conhecimentos profundos e não é um típico garoto querendo brincar com códigos já conhecidos de botnet “, acrescentou Hui. Em um relatório técnico, o pesquisador também destaca o complexo mecanismo de infecção multi-estágio da botnet, que é algo único comparado às ameaças existentes.

De acordo com Hui, uma vez que o BCMUPnP_Hunter conclui esse processo de infecção em várias etapas e ganha uma posição em um dispositivo vulnerável, ele o utiliza para procurar outros roteadores vulneráveis. Mas ele diz que o botnet também esconde uma função secundária, que permite que a rede de bots use os roteadores infectados como nos de proxy (intermediário que faz comunicação entre usuários e outros servivores) e retransmite as conexões dos operadores da botnet.

No momento em que este artigo foi escrito, Hui disse que todos os IPs que o Netlab observou mostram o BCMUPnP_Hunter se conectando a endereços IP de propriedade de populares serviços de webmail, como Yahoo, Outlook e Hotmail.

Reprodução

Como todas as conexões foram feitas através da porta TCP 25 (atribuída ao protocolo SMTP, de e-mail), os pesquisadores estão certos de que disseminadores de botnets estão secretamente enviando ondas de spam por trás da camada da botnet de proxies que estão sempre em mudança (roteadores infectados).

O BCMUPnP_Hunter não é o primeiro botnet IoT a operar como uma rede proxy (botnets baseados na técnica UPnProxy são conhecidos por fazer o mesmo) nem como um serviço de envio de spam (veja ProxyM botnet).