Aproveitando vulnerabilidades antigas e uma série de fatores combinados, hackers sustentaram um ataque em massa silencioso em modems DSL no Brasil, comprometendo 4,5 milhões de aparelhos pelo menos até março deste ano. De acordo com um post no blog oficial da empresa de segurança Kaspersky nesta segunda-feira, 1º, a falha vem sendo explorada desde 2011 ao utilizar uma brecha em firmwares dos equipamentos desatualizados para injetar software malicioso (malwares) e levar usuários a sites falsos para roubar informações bancárias e pessoais.
O ataque (identificado como HackTool.Shell.ChDNS.a.) foi informado em março deste ano pelo centro de estudos, resposta e tratamento de incidentes (Cert.br) para bancos, provedores de Internet, fabricantes de hardware e agências governamentais. Alguns dos fabricantes disponibilizaram atualizações no firmware para correção e instituições financeiras expuseram os servidores maliciosos utilizados no ataque. Ainda assim, ainda haviam milhares de modems comprometidos.
Na visão do especialista em segurança dos laboratórios da Kaspersky que divulgou o ataque de enorme proporção no País, o brasileiro Fábio Assolini, a ação foi uma "tempestade perfeita", ou seja, uma combinação de fatores propícios para os criminosos. No post, ele diz que houve omissão dos fabricantes, provedores e agências governamentais em combinação com a falta de conhecimento dos usuários.
Segundo o executivo, há registros de ataques em todos os maiores provedores de Internet no Brasil, com algumas delas tendo 50% de sua base de usuários comprometida. Ele cita a Oi, Net, Telefônica e GVT em seu post. A Net, contudo, não utiliza modems xDSL, e sim cable modems, mas esse detalhe não é esclarecido pela Kaspersky em seu post.
Modo de infecção
De acordo com Assolini, uma falha no firmware de um chipset da Broadcom – que equipa modems de diversos fabricantes – permite a captura da senha do aparelho e o controle do painel de administração de forma remota. A vulnerabilidade foi descoberta em março de 2011 e, segundo o especialista em segurança, não há uma informação precisa sobre que versões e equipamentos foram afetados, o que dependeria dos próprios fabricantes. Ainda assim, ele afirma que houve registros de pelo menos seis empresas de modems DSL afetadas, cinco delas populares no Brasil e com modelos entre os mais vendidos do mercado.
Fábio Assolini disse no post da Kaspersky que muitos fabricantes se negaram a agir rapidamente mesmo após terem sido alertados sobre o problema. Ele critica ainda a Anatel por não tratar do aspecto de segurança nos aparelhos, limitando-se a averiguar a "funcionalidade" do dispositivo. A agência, na verdade, realiza testes sobre frequência, interferência e outros fatores relacionado às telecomunicações, mas não faz testes lógicos.
Os ataques teriam sido realizados por cibercriminosos brasileiros utilizando 40 servidores DNS (que direcionam os serviços de hospedagem) para controlar o tráfego do usuário pelos modems e direcioná-lo para sites que copiam portais populares como Google, Facebook e Orkut. Neles eram exibidos avisos sobre a necessidade de se instalar plugins – na verdade, o malware que se instalava nas máquinas das vítimas. O objetivo, na verdade, era conseguir as informações dos usuários em sites de bancos. Os ataques se limitaram ao Brasil apenas.
Segundo Fábio Assolini, da Kaspersky, o usuário pode se prevenir utilizando senhas fortes em seus modems, checando as configurações de segurança e atualizando o firmware ou qualquer software relevante regularmente. O resto, diz ele, é responsabilidade dos fabricantes e seus projetos de dispositivos.
