O Federal Bureau of Investigation (FBI) emitiu um sério aviso relativamente a routers que já atingiram o seu fim de vida (EoL). Estes equipamentos estão a ser ativamente explorados por cibercriminosos, que os infetam com malware para os converter em nós de redes de proxies, posteriormente comercializadas em plataformas como a 5Socks e a Anyproxy.
Dispositivos obsoletos, vulnerabilidades atuais
Os routers em fim de vida, lançados há vários anos, deixaram de receber atualizações de segurança por parte dos seus fabricantes. Esta lacuna torna-os alvos fáceis para ataques externos que exploram vulnerabilidades conhecidas e publicamente documentadas, permitindo a injeção de malware persistente.
Uma vez comprometidos, estes routers são integrados em botnets de proxies residenciais. Estas redes são depois utilizadas para encaminhar tráfego malicioso, servindo de escudo para as atividades ilícitas de outros cibercriminosos.
"Com as redes 5Socks e Anyproxy, os criminosos estão a vender o acesso a routers comprometidos como proxies para outros comprarem e utilizarem," explica o comunicado do FBI. "As proxies podem ser usadas por agentes maliciosos para ocultar a sua identidade ou localização."
Modelos específicos na mira dos atacantes
O aviso do FBI lista vários modelos de routers EoL das marcas Linksys e Cisco como alvos frequentes desta ameaça:
- Linksys E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550
- Linksys WRT320N, WRT310N, WRT610N
- Cradlepoint E100
- Cisco M10
A agência federal norte-americana sublinha ainda que atores patrocinados pelo estado chinês têm explorado vulnerabilidades conhecidas (n-day) nestes mesmos routers para conduzir campanhas de espionagem secretas, incluindo operações que visaram infraestruturas críticas dos Estados Unidos.
O regresso do malware "TheMoon"
Num boletim relacionado, o FBI confirma que muitos destes routers estão infetados com uma variante do malware "TheMoon". Este software malicioso permite que os atacantes configurem os dispositivos como proxies.
"Routers em fim de vida foram violados por ciberatores usando variantes da botnet de malware TheMoon," lê-se no boletim do FBI. "Recentemente, alguns routers em fim de vida, com a administração remota ativada, foram identificados como comprometidos por uma nova variante do malware TheMoon. Este malware permite que os ciberatores instalem proxies nos routers de vítimas insuspeitas e conduzam cibercrimes anonimamente."
Após a infeção, os routers estabelecem ligação a servidores de comando e controlo (C2) para receberem instruções, que podem incluir a procura e comprometimento de outros dispositivos vulneráveis na Internet.
Utilizações criminosas e sinais de alerta
O FBI refere que estas proxies são depois utilizadas para evadir a deteção durante atividades como o roubo de criptomoedas, serviços de cibercrime por encomenda e outras operações ilegais.
Existem sinais comuns que podem indicar que um router foi comprometido por uma botnet:
- Interrupções na conectividade de rede.
- Sobreaquecimento do dispositivo.
- Degradação do desempenho da rede.
- Alterações inesperadas na configuração do router.
- Aparecimento de utilizadores administradores desconhecidos.
- Tráfego de rede invulgar.
Como proteger-se desta ameaça crescente
A forma mais eficaz de mitigar o risco de infeção por botnets é substituir os routers em fim de vida por modelos mais recentes que ainda recebam suporte ativo do fabricante.
Caso a substituição imediata não seja possível, o FBI recomenda as seguintes medidas:
- Aplicar a atualização de firmware mais recente disponível para o modelo específico, obtida diretamente do portal oficial de downloads do fabricante.
- Alterar as credenciais de administrador padrão do router.
- Desativar os painéis de administração remota.
O FBI disponibilizou também indicadores de compromisso associados ao malware que tem sido instalado nestes dispositivos EoL, para auxiliar na deteção de infeções.
Nenhum comentário
Seja o primeiro!