Gestão de SIGestão Seg. TIRisco & FraudeSegurança da InformaçãoTecnologia da Informação

Criminosos alteram DNS de modems usando falha para realizar fraudes

Senhas fracas e brecha em alguns modelos facilitam os golpes.
Antivírus e firewalls não podem detectar nem impedir o ataque.

Alguns criminosos brasileiros têm preferido atacar modems e roteadores em vez de infectar diretamente o sistema operacional do internauta. Eles fazem isso por meio de uma falha de segurança presente em alguns modelos de modems ADSL, alteram o servidor DNS e depois redirecionam os sites alvo, como os bancos ou grandes portais.

Atacar dispositivos de rede como modems, roteadores e gateways não é algo novo no mundo da segurança. Existem centenas de exploits e backdoors que permitem a um atacante acessar esses dispositivos remotamente, alterar a configuração ou ter total controle sobre o equipamento – se ele estiver mal configurado ou vulnerável com uma falha de programação.

Isso porque geralmente esses exploits abusam de falhas de segurança presentes no firmware[1. Firmware é o conjunto de instruções operacionais programadas diretamente no hardware de um equipamento eletrônico. É armazenado permanentemente num circuito integrado (chip) de memória de hardware.] do equipamento, o que lhes permite ter acesso ao painel de administração. Ali os criminosos podem mudar toda a configuração do equipamento, ver a estrutura da rede conectada ao dispositivo, entre outros.

No Brasil, isso tem sido usado para invadir modems e alterar os servidores DNS, que estão normalmente configurados para o provedor, para um sistema controlado pelos criminosos.

Desde meados do ano passado temos presenciado muitos desses ataques no Brasil. No fórum da Linha Defensiva existe um tópico sobre o assunto, no qual diversos usuários, clientes dos maiores provedores de internet no país, relataram sofrer redirecionamentos. Cibercriminosos brasileiros comprometeram modems ADSL pelo país, numa onde ataques regulares, silenciosos e efetivos, com o objetivo de instalar malware nas máquinas ou direcionar as vítimas para sites falsos.

Como funcionam os ataques

Se um modem ADSL está exposto na internet e usa a senha padrão, não é difícil ele ser atacado e os servidores DNSs do equipamento trocados. Como os números IP são em ordem numérica, os criminosos brasileiros estão utilizando scripts automatizados que varrem os endereços IP, sequencialmente, buscando um equipamento vulnerável e exposto.

A Linha Defensiva tem observado vítimas entre os mais diferentes provedores de internet, desde grandes até pequenos – isso não é exclusividade de um ou de outro.

032312_0159_Criminososa1

Por falha ou senha fraca configurada no roteador, os servidores de DNS são alterados. (Foto: Reprodução)

Trocar a senha, no entanto, não impede o ataque em alguns modems. Certos aparelhos possuem uma brecha que permite descobrir a senha remotamente – e os criminosos brasileiros tem tirado proveito disso também.

Logo após ter acesso, o criminoso irá alterar os servidores DNS e a senha do equipamento. Se o usuário tentar acessar o painel de administração do modem, não irá conseguir. Nos casos analisados e reportados por alguns usuários, as senhas usadas pelos criminosos geralmente tem sido “dnschange”, “dn5ch4ng3” ou “ch4ng3dn5, por exemplo.

Para saber se o modem que você usa é vulnerável, basta tentar acessar o arquivo “password.cgi” no modem. Se o acesso funcionar, o modem provavelmente é vulnerável, porque a senha estará revelada no código fonte da página. Um exploit específico, tornado público em março de 2011, consegue explorar esse problema.

Entre os modems confirmados com a falha estão o 500B e o 2640B da D-Link, mas outros fabricantes como Comtrend e Intelbrás também tem modelos afetados. O problema existe no chipset da Broadcom, que é usado por vários fabricantes.

Sintomas: como saber se fui atacado?

É preciso verificar a configuração de DNS do roteador para ter certeza, mas normalmente há alguns sintomas visíveis.

Nos primeiros ataques registrados os usuários eram direcionados pelo DNS malicioso configurado no equipamento para uma página maliciosa oferecendo um suposto “Google Defence”:

032312_0159_Criminososa2

Redirecionamento do Google oferecia praga digital. (Foto: Reprodução)

Algumas vezes, por problema de sobrecarga nos servidores de DNS maliciosos as vitimas viam uma página de hospedagem ao tentar acessar portais web populares:

032312_0159_Criminososa3

Páginas de grandes portais e serviços de e-mail também eram redirecionadas. (Foto: Reprodução)

Nos piores ataques os usuários estão sendo direcionados para páginas falsas de banco, nas quais as credencias são roubadas. Há também relatos de páginas falsas de serviços de webmail como Gmail, Hotmail, e outros. Nos ataques monitorados pela Linha Defensiva observou-se que vários modems ADLS comprometidos direcionavam para páginas falsas de banco em apenas alguns horários do dia, para não levantar suspeita do usuário.

Lembre-se: com os servidores DNS alterados no seu modem todo o trafego de internet do seu computador pode ser monitorado.

Como se Proteger dos ataques?

Existe um procedimento bastante simples que permite saber se seu modem ADSL está vulnerável e suscetível a ataques:

  1. Descubra o IP que seu modem está usando. Isso pode ser feito por meio da configuração de “Gateway” na sua configuração de rede e, em alguns casos, o IP externo também funciona. Você pode descobri-lo visitando sites como ohttp://www.omeuip.com
  2. Abra seu navegador e digite na barra de endereço: http://[ip do seu modem]/password.cgi
  3. Verifique o código fonte da página que será exibida. Se seu modem estiver vulnerável você verá a senha do equipamento.

    Caso seu modem esteja vulnerável ou não, é necessário tomar alguma atitude:

  4. Atualize o firmware do seu modem. Geralmente no site da fabricante você verá o download disponível gratuitamente conforme o modelo. Porém para fazê-lo é necessário extremo cuidado, pois uma atualização problemática pode fazer o equipamento parar de funcionar. Se não souber como fazer, não faça! Solicite ajuda ao seu provedor de internet.
  5. Outra possibilidade é usar o modem no modo Bridge
  6. Force o uso de servidores DNS alternativos (como o Google DNS ou o OpenDNS) diretamente nas configurações da placa de rede (no sistema operacional).
  7. Configure seu modem do modo correto: desative serviços como o acesso HTTP através da porta WAN, configure uma senha de acesso ao painel de configuração, troque as senhas padrões e portas padrões .
  8. Se nada disso resolver, solicite ao seu provedor de internet a troca do modem por outro modelo.
  9. Verifique a presença e a autencidade dos certificados de segurança presente em conexões HTTPS. Várias páginas falsas não os exibem.

Ricardo Lino

Profissional de Tecnologia da Informação há 17 anos, tendo os últimos 7 anos na área de Segurança da Informação, Risco&Fraude e Compliance, projetando e definindo as melhores soluções, alinhando as melhores práticas de mercado as metas de negócio, provendo transformações internamente e externamente mantendo uma Governança de segurança da informação, gestão de risco para elevar a maturidade das empresas, são o que eu faço melhor.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.