Novas oportunidades de ataques contra IoT encontradas no submundo do cibercrime

Por Stephen Hilt, Vladimir Kropotov, Fernando Mercês, Mayra Rosario e David Sancho

No paper “The Internet of Things in the Cybercrime Underground,” acompanhamos diversas discussões sobre IoT em comunidades do submundo do cibercrime. Vimos tópicos que iam desde tutoriais até esquemas para monetizar os ataques contra IoT. Como é de se esperar, dispositivos expostos e vulnerabilidades foram temas de grande interesse para as comunidades em busca de oportunidades de ataques. Por isso, neste artigo vamos falar do que, no geral, os cibercriminosos vêem como aberturas perfeitas para ataques às tecnologias de IoT.

Para nossa pesquisa, identificamos cinco comunidades com base no idioma usado nos fóruns. Em ordem decrescente de atividade e sofisticação em termos de discussão, destacamos falantes de russo, português, inglês, árabe e espanhol.

O cenário russo traz as discussões mais dinâmicas sobre ataques de IoT. Nesta comunidade, os criminosos frequentemente postam anúncios de serviços e informações pelos quais estão dispostos a pagar – sendo que vulnerabilidades são um bom exemplo disso. Como podemos ver na imagem abaixo, um criminoso está disposto a pagar para receber vulnerabilidades descobertas em qualquer dispositivo IoT.


Figura 1. Usuário perguntando sobre vulnerabilidades em dispositivos IoT

Monetização é o foco nesta comunidade e posts sobre dispositivos um pouco menos comuns são indícios da busca por novas oportunidades. Por exemplo, medidores e bombas de gasolina inteligentes foram tema de discussões, ainda que o foco ali fosse só em versões físicas modificadas.

O segundo grupo mais ativo foi o de língua portuguesa. Como destaque, chamou atenção uma discussão sobre um serviço que se aproveita de infecções em roteadores, chamado de “KL DNS”. É um serviço de redirecionamento que permite aos phishers roubarem informações de bancos, entre outras. O que é interessante sobre este serviço é que ele pode estar se valendo de um surto anterior de infecções em roteadores no Brasil em 2018 para gerar receita. Esta infecção explorava uma vulnerabilidade nos equipamentos MikroTik. Os criminosos podiam estar buscando por oportunidades para lançar ataques da mesma proporção.

Os posts feitos na comunidade falante de inglês estavam mais ligados à curiosidade do que à atividade criminosa em si, com tutoriais como este mostrando como explorar vulnerabilidades. A figura 2 mostra discussões de fórum sobre como explorar a CVE-2017-5521, uma vulnerabilidade dos roteadores Netgear que poderia expor credenciais de senhas. Além dos tutoriais, o submundo deste grupo continha códigos para exploits. 


Figura 2. Tutorial sobre como explorar a vulnerabilidade de segurança nos roteadores Netgear.

Neste grupo também se destacou um interesse pela exploração de impressoras conectadas, provavelmente devido sua larga adoção em ambientes industriais e corporativos, fazendo delas pontos de acesso em potencial.

Além dos dispositivos e suas vulnerabilidades em si, os criminosos deste grupo também mostraram interesse em ferramentas de descoberta. A maioria das menções destes produtos tratava de roteadores, embora convenha mencionar um post em particular que falava do “aztarna”, uma ferramenta voltada para robôs industriais.

Partindo para o grupo árabe, é nítido que se trata de conversas muito menos agressivas que as anteriores. Contudo, ainda assim vimos muitos tópicos sobre compartilhamento de descobertas e novidades em vulnerabilidades de IoT.


Figura 3. Discussão sobre exploração de zero-day em equipamentos Linksys 

Finalmente, o submundo do grupo de falantes de espanhol se interessou mais por métodos de identificação de equipamentos desprotegidos ou sem autenticação que poderiam ser usados como ponto de acesso de novos ataques. Um bom exemplo foi a discussão de como usar o Google dork para encontrar refrigeradores industriais desprotegidos. Este grupo chegou a desenvolver um programa que poderia encontrar estes dispositivos por buscas Shodan (figura 4). A ferramenta se chama “Simple Active Bot” e seu vendedor afirma que ela consegue obter acesso remoto aos dispositivos que encontra. Não pudemos atestar a veracidade desta afirmação, portanto é possível que se trate de uma fraude. O vendedor também estava anunciando em inglês.


Figure 4. Post oferecendo “Simple Active Bot” para automatizar a descoberta de dispositivos via Shodan

Conclusão e recomendações de segurança

De modo geral, percebemos que, no momento, os cibercriminosos de diferentes regiões estão refinando seus ataques voltados para IoT. Embora esquemas de monetização para estas ações ainda não estejam em pleno funcionamento em todo o submundo, é nítido o interesse nesta área. Bastam uma oportunidade e um modelo de negócio viável para que a maioria dos ataques aconteça.

O fato é que estes criminosos estão em busca de oportunidades, de novos dispositivos a vulnerabilidades, o que reforça o argumento de que medidas de segurança devem ser implantadas desde o design e continuar ao longo de todo o desenvolvimento. Gestão de vulnerabilidades para diferentes dispositivos IoT é de suma importância para a minimização das chances de ataque.

Para usuários e integradores, visibilidade é a chave para se obter controle sobre todos os muitos dispositivos presentes em seus respectivos ambientes de IoT. Além disso, uma boa postura de segurança envolve prudência na decisão sobre quais dispositivos precisam ser conectados à internet e como devem ser protegidos. Neste sentido, existem soluções que ajudam a proporcionar mais visibilidade e uma defesa mais sólida contra possíveis ameaças.Usuários podem contar com a ferramenta Trend Micro Home® Network Security, que oferece tanto visibilidade quanto proteção contra ameaças de redes. O público corporativo pode optar pelo Trend Micro Deep Security® que traz segurança para ambientes físicos, virtuais, híbridos e de nuvem, além de virtual patching para vulnerabilidades.

Categorias

Veja outras publicações

Menu