Eclipse de Abóbora

 (blog.lumen.com)
1 pontos por GN⁺ 2024-06-01 | 1 comentários | Compartilhar no WhatsApp

Resumo do relatório da Black Lotus Labs

Visão geral do incidente

  • Ocorrência: entre 25 e 27 de outubro de 2023, ao longo de 72 horas, mais de 600 mil roteadores SOHO (small office/home office) pertencentes a um único provedor de serviços de internet (ISP) ficaram offline.
  • Impacto: os dispositivos infectados ficaram permanentemente inoperantes, exigindo substituição de hardware.
  • Causa principal: foi identificado como principal responsável um trojan de acesso remoto (RAT) chamado "Chalubo".

Trojan Chalubo

  • Primeira descoberta: identificado pela primeira vez em 2018.
  • Características:
    • Remove todos os arquivos do disco e executa na memória.
    • Usa nomes aleatórios de processos já existentes no dispositivo.
    • Criptografa toda a comunicação com o servidor de comando e controle (C2).
  • Funções: pode realizar ataques DDoS e executar scripts Lua.

Processo de infecção

  • Acesso inicial: é muito provável que tenha explorado credenciais fracas ou interfaces de administração expostas.
  • Etapas da infecção:
    • Primeira etapa: acessa o servidor de payload inicial por meio do script bash "get_scrpc".
    • Segunda etapa: baixa e executa scripts e payloads adicionais.
    • Arquivos principais: /usr/bin/usb2rci, /tmp/.adiisu, /tmp/crrs etc.

Situação global das infecções

  • Atividade: de novembro de 2023 ao início de 2024, o malware Chalubo esteve extremamente ativo.
  • Endereços IP infectados: em 30 de outubro de 2023, mais de 330 mil endereços IP únicos estavam infectados.

Conclusão

  • Particularidade: este ataque ficou restrito a um ASN específico e afetou mais de 600 mil dispositivos.
  • Intenção do ataque: tornar os dispositivos inoperantes por meio de uma atualização de firmware intencional.
  • Recomendações de segurança:
    • Organizações que administram roteadores SOHO: não usar senhas padrão e reforçar a segurança das interfaces de administração.
    • Usuários em geral: reiniciar o roteador regularmente e instalar atualizações de segurança.

Opinião do GN⁺

  • Ponto interessante: este incidente ficou restrito a um único ISP e foi extremamente incomum por exigir substituição de hardware em larga escala.
  • Necessidade de reforço de segurança: é urgente fortalecer a segurança de roteadores SOHO e dispositivos IoT.
  • Lição técnica: técnicas de evasão de detecção estão evoluindo, como malware que executa apenas na memória e criptografa suas comunicações.
  • Soluções alternativas: é necessário avaliar outras soluções ou projetos de segurança que ofereçam funcionalidades semelhantes.
  • Pontos a considerar na adoção: ao introduzir novas tecnologias de segurança, é preciso considerar a compatibilidade com os sistemas existentes e a facilidade de gerenciamento.

Leituras relacionadas

1 comentários

 
GN⁺ 2024-06-01
Comentários do Hacker News
  • Problema de firmware: Sonho em bloquear a linha de escrita do chip flash e agendar reinicializações diárias para resolver problemas causados por falhas de firmware.
  • Experiência com receptor de satélite: Assim como acontecia com receptores de satélite há 20 anos, todos os dispositivos conectados à internet devem ser considerados vulneráveis a contramedidas eletrônicas.
  • Monitoramento de atualizações: É necessário um sistema que monitore atualizações de equipamentos e envie alertas quando elas ocorrerem.
  • Falta de conteúdo no artigo: O artigo carece de detalhes interessantes. Fico curioso se o roteador tem portas e serviços abertos por padrão.
  • Comparação de firmware: Há dúvida sobre a possibilidade de comparar diferentes versões de firmware.
  • Uso do OpenWrt: Parece que a maioria das pessoas está usando OpenWrt e o SDK do fornecedor.
  • Suspeita de atualização maliciosa: Suspeita de que o fornecedor enviou uma atualização maliciosa ou corrompida.
  • Ausência de declaração oficial do ISP: Há dúvida sobre o motivo de não haver uma declaração oficial do ISP. Se foi um ataque, é necessária uma investigação.
  • Como isso é tratado nos EUA: Há dúvida sobre como esse tipo de problema é tratado nos Estados Unidos.
  • Possibilidade de infecção por bot: Possibilidade de a máquina ter sido infectada por um bot e o fornecedor ter distribuído uma atualização que estragou tudo.
  • Necessidade de alerta sobre incidente de segurança: Como cliente, quero ser informado sobre incidentes de segurança.
  • Pedido de link da imagem de firmware: Pedido de link para a imagem de firmware do dispositivo ou para mais detalhes.
  • Logs de tráfego: Há dúvida sobre como a Black Lotus Labs sabe, por meio dos logs de tráfego, que houve comunicação entre IPs.
  • Dúvida sobre a segurança do Tor: Há dúvida se a segurança do Tor é realmente confiável.
  • Caixa x86 e OpenWrt: Prefiro comprar uma pequena máquina x86 com NIC dupla para rodar OpenWrt. É open source, tem muito suporte, boa comunidade e suporte a WireGuard.
  • Sugestão de pontos de karma no HN: Sugestão de dar pontos de karma no HN a quem melhorar títulos caça-cliques.
  • Recomendações úteis do governo do Canadá: Link para recomendações úteis do governo canadense.
  • Backdoor e bug de firmware: O que acontece quando se instala um backdoor em 600 mil roteadores e se introduz um bug de firmware.
  • Implantação gradual de atualizações: Há dúvida sobre não ser possível distribuir atualizações de forma gradual.
  • Significado do título do artigo: Há dúvida sobre o significado do título do artigo.
  • Título confuso: Para quem achou o título confuso, trata-se da destruição de 600 mil roteadores individuais.
  • Artigo relacionado: Link para um artigo relacionado da Ars Technica.