Pesquisadores da Volexity descobriram que hackers usaram uma violação de um único provedor de serviços de internet para espalhar malware para usuários de Windows e Mac.
Aqui está o que sabemos
O ataque envolveu hackear roteadores ou dispositivos similares na infraestrutura do ISP. Os invasores então usaram o controle dos dispositivos para manipular as respostas do sistema de nomes de domínio de hosts legítimos, distribuindo atualizações para pelo menos seis aplicativos diferentes do Windows e macOS, incluindo 5KPlayer, Quick Heal, Rainmeter, Partition Wizard e Corel e Sogou.
Como os mecanismos de atualização não usavam TLS ou assinaturas criptográficas, os invasores conseguiam redirecionar os usuários para seus servidores, mesmo que usassem serviços de DNS públicos, como Google ou Cloudflare.
Um diagrama ilustrando o curso do ataque dos atacantes do StormBamboo
Os hackers conhecidos como StormBamboo usaram spoofing de DNS para entregar arquivos maliciosos, que então baixaram componentes maliciosos adicionais. Por exemplo, o aplicativo 5KPlayer baixou um arquivo Youtube.config falso que continha malware MACMA para macOS ou malware POCOSTICK para Windows. Esses programas deram aos hackers acesso total aos dispositivos, incluindo gravação de tela, áudio e teclado.
A Volexity também descobriu que os hackers usaram spoofing de DNS para sequestrar o domínio da Microsoft usado para verificar a conectividade da internet. Isso permitiu que eles interceptassem solicitações HTTP e as encaminhassem para seus servidores. Os pesquisadores alertam que tais ataques podem continuar e recomendam usar DNS sobre HTTPS ou TLS para se proteger.
De qual ISP estamos falando, os especialistas não disseram, dizendo apenas que “não é um grande ISP, ou um que você provavelmente conheça”.
Fonte: ArsTechnica
A situação evidenciada pelo ataque destaca a vulnerabilidade que pode existir na cadeia de atualização de software. Muitas vezes, os usuários não estão cientes dos riscos associados à falta de segurança nas atualizações, especialmente quando estas não utilizam protocolos adequados, como o TLS. Este caso serve como um alerta para tanto os consumidores quanto as empresas sobre a necessidade de uma abordagem mais rigorosa em relação à segurança dos seus sistemas.
Os pesquisadores da Volexity também enfatizaram a importância da educação dos utilizadores sobre práticas seguras na internet. Uma boa parte dos utilizadores pode não dar a devida atenção às mensagens de atualização ou não discernir entre atualizações legítimas e aquelas que são maliciosas. Isso torna mais premente a necessidade de que aplicações e serviços ofereçam informações claras e acessíveis sobre as suas atualizações.
Além disso, a configuração dos roteadores e a segurança dos ISPs devem ser revistas com cuidado. Muitos usuários podem não saber que o nível de segurança de seu ISP pode impactar diretamente a segurança dos seus dispositivos. Investe-se na segurança da infraestrutura de um ISP para garantir que actualizações e trânsito de dados não sejam alvos vulneráveis a ataques.
Nos últimos anos, houve um aumento significativo de ataques cibernéticos, o que reforça a ideia de que a cibersegurança é uma responsabilidade coletiva. Além dos ISPs, fabricantes de software, companhias de segurança e utilizadores também devem desempenhar um papel ativo na proteção dos seus dados. A colaboração entre esses setores é fundamental para mitigar a ameaça de ataques desse tipo no futuro.
No que diz respeito às implicações legais, este incidente também pode levantar questões sobre a responsabilidade dos ISPs na segurança dos seus clientes. Em diversos países, há um crescente debate sobre a necessidade de legislações mais rigorosas que abordem não só a proteção de dados, mas também a obrigação dos prestadores de serviços de garantir uma infraestrutura segura. Isso poderá conduzir a uma mudança na forma como os ISPs gerenciam a segurança das suas redes.
Por fim, a disseminação de malware através de canais legítimos, tal como demonstrado neste ataque, é uma tática que os cibercriminosos estão cada vez mais a explorar. Isso torna essencial o monitoramento contínuo da segurança digital e a adoção de medidas proativas por parte dos utilizadores. A instalação de soluções de segurança robustas e a manutenção de uma boa higiene digital pode diminuir significativamente o risco de contágio por software malicioso.