Atualização do malware Zerobot ataca dispositivos IoT 

Atualização de uma botnet descoberta no fim do ano passado, que explora vulnerabilidades em dispositivos da Internet das Coisas (ioT) para ganhar controle sobre sistemas atacados, está ativa. Revelado inicialmente pelo FortiGuard Labs, o malware Zerobot foi atualizado várias vezes desde que a equipe de pesquisa do Microsoft Defender passou a monitorá-lo. A versão Zerobot 1.1 inclui recursos para explorar vulnerabilidades em mais sistemas e novas ferramentas de ataque DDoS.

Escrito na linguagem Go, o Zerobot contém vários módulos, como os de autorreplicação, autopropagação e um voltado para ataques usando diferentes protocolos, é oferecido como parte de um esquema de malware como serviço. Segundo a Microsoft, um domínio com links para o Zerobot foi identificado entre vários outros associados a serviços DDoS de aluguel apreendidos pelo FBI em dezembro de 2022. A Microsoft chegou a rastrear anúncios da botnet Zerobot em redes de mídia social e publicidades relacionadas à venda e manutenção do malware e também identificou novos recursos em desenvolvimento. A empresa rastreia essas atividades como DEV-1061.

A distribuição Zerobot 1.1 pode agora explorar vulnerabilidades no Apache e Apache Spark, além dos sistemas MiniDVBLinux DVR, Grandstream e Roxy-WI GUI. Adicionalmente, traz ferramentas para realizar ataques DDoS. As novas funções permitem mirar em certos recursos e torná-los inacessíveis. Ataques DDoS bem-sucedidos podem ser usados para pedir pagamento de resgate, desviar a atenção de outras atividades mal-intencionadas ou interromper operações. Os diferentes métodos usados pela Zerobot para lançar ataques DDoS, como envio de pacotes UDP e TCP com cargas personalizáveis, estão listados abaixo.

A botnet Zerobot afeta vários dispositivos, entre eles firewalls, roteadores e câmeras e os agrega a uma botnet de negação distribuída de serviços (DDoS). Pode infectar vítimas vulneráveis em diversas arquiteturas, sistemas operacionais e protocolos.

Por estarem mais expostos à Internet e apresentarem sistemas sem patches e mal protegidos, os dispositivos IoT são alvos frequentes do malware Zerobot, que se propagam pelas rotas Iot aplicando ataques de força bruta em dispositivos com configurações inseguras que usam credenciais padrão ou fracas. O malware tenta ganhar acesso aos dispositivos por meio de uma combinação de oito nomes de usuário comuns e 130 senhas para dispositivos IoT.

Os pesquisadores da Microsoft identificaram várias tentativas de conexão SSH e telnet nas portas padrão 22 e 23, bem como tentativas para abrir as portas 80, 8080, 8888 e 2323.

Para ganhar acesso aos dispositivos, o malware Zerobot injeta um script de nome zero.sh que faz o download e tenta executar o código mal-intencionado do malware para uma arquitetura específica. Também pode tentar baixar diferentes binários e tenta identificar a arquitetura por força bruta, pois dispositivos IoT costumar usar unidades de processamento de diferentes plataformas. A Microsoft observou scripts para arquiteturas como ARM64, MIPS e x86_64. Dependendo do sistema operacional dos dispositivos, o malware usa diferentes mecanismos de persistência, táticas usadas para ganhar e manter o controle de acesso.

O que é uma botnet IoT?

Botnet IoT é uma rede de dispositivos conectados à Internet das Coisas (IoT) que foi infectada por um malware (especificamente malware de botnet IoT) e caíram nas mão de agentes mal-intencionados. Em geral, as botnets são usadas para lançar ataques distribuídos de negação de serviços (DDoS) e anunciadas em fóruns clandestinos, ficando facilmente acessíveis a cibercriminosos.

Normalmente, são controladas a partir de um único servidor de Comando e Controle (C&C) conectado aos dispositivos infectados, chamados de “bots”. No entanto, algumas botnets abrem mão do servidor C&C e adotam redes ponto a ponto (peer-to-peer ou P2P), o que tona mais difícil derrubá-las. Essa ameaça já é realidade, e já foram identificadas cinco famílias de botnets IoT P2P: Wifatch, Hajime, Hide ‘n’ Seek (HNS), Mozi e  HEH.

A Trend Micro lista três principais códigos de malware usados em botnets IoT, cujas características mostram suas naturezas e como costumam operar. São, em geral, códigos abertos para facilitar a geração de variantes. Essas três classes de malware são:

• Kaiten – Também chamado por Tsunami, é o código menos conhecido dos três. Apesar de ter se tornado público em 2001, continua popular entre os cibercriminosos e script kiddies (indivíduos sem qualificação técnica que usa scripts de terceiros). O código Kaiten se espalha por meio de serviços Telnet usando força bruta. Suas variantes mais recentes têm um recurso de eliminação de bots que remove infecções anteriores.

• Qbot – Esse código de malware para botnets IoT é um pouco mais recente do que o Kaiten (surgiu em 2008), mas ainda é popular entre os cibercriminosos. Seus outros nomes são Bashlite, Gafgyt, Lizkebab ou Torlus. Suas variantes também contam com recurso de eliminação de bots anteriores.

• Mirai – É o código mais conhecido entre os três. Surgiu em 2016 e foi desenvolvido como uma ferramenta DDoS para venda e principalmente para gamers. Algumas variantes têm a capacidade de limpar infecções mais antigas e monopolizar totalmente os dispositivos.

Esse recurso de cancelamento de infecções aponta para uma possível disputa entre operadores de código de malware para botnets IoT. Pode parecer saudável, algo do bem, mas uma visão menos ingênua destaca um foco cruzado entre exércitos virtuais cujas principais vítimas são os usuários da Internet das Coisas cada vez mais numerosos, individuais ou grandes organizações, como prestadores de serviços essenciais ou de saúde.