Usuários de roteadores tomate são incentivados a fortalecer senhas ou podem ser violados por hackers

Certas atividades cibercriminosas têm tudo a ver com escala. Se você deseja iniciar um ataque DDoS notável, envie grandes quantidades de spam ou gere uma carteira cheia de bitcoins com a ajuda de uma campanha de cryptojacking, por exemplo, você precisa de muito hardware. É aqui que as botnets entram.

Uma botnet é uma rede de servidores, computadores e dispositivos de IoT que os hackers obtêm acesso e controle sem o conhecimento de seus proprietários. Os pontos de extremidade comprometidos não apenas dão aos hackers a capacidade de lançar ataques em grande escala, mas também fornecem a eles uma maneira de cobrir suas trilhas, e é por isso que as redes de bots às vezes são usadas mesmo em campanhas sofisticadas de spyware. Por padrão, uma botnet nunca pode ser grande o suficiente, e bandidos estão constantemente tentando encontrar uma maneira de expandir suas redes de dispositivos invadidos. Recentemente, por exemplo, pesquisadores da Unidade 42 da Palo Alto Networks nos contaram como os operadores por trás da rede de bots Muhstik estão tentando adicionar novos bots à rede.

A rede de bots Muhstik segue os roteadores Wi-Fi rodando em cima do firmware do Tomato

A botnet Muhstik existe desde março de 2018, e os pesquisadores da Palo Alto Networks tiveram mais do que alguns encontros com ela. É conhecido por comprometer servidores Linux e WebLogic com instalações WordPress e Drupal e, em maio de 2018, tentava explorar uma vulnerabilidade de segurança nos roteadores domésticos GPON. O servidor de Comando e Controle (C&C) controla os bots através de um canal de IRC e, até agora, os utiliza principalmente para iniciar ataques DDoS e minerar criptomoedas.

No início de dezembro, os pesquisadores da Palo Alto Networks notaram que os hackers atualizaram a botnet. Agora existe um módulo adicional projetado para direcionar roteadores Wi-Fi em execução no firmware do Tomato.

O Tomato é um firmware de código aberto para roteadores domésticos que deve ser mais poderoso e fácil de usar do que seus concorrentes. Lançado pela primeira vez em 2006, está disponível gratuitamente para fornecedores e usuários finais. Os especialistas da Palo Alto Networks usaram o mecanismo de busca Shodan para determinar que atualmente existem cerca de 4.600 roteadores baseados em tomate expostos à Internet. Não parece um número particularmente grande, mas os operadores de Muhstik decidiram claramente que vale a pena o esforço extra. Mas o que podemos fazer para detê-los?

Credenciais padrão deixam os usuários vulneráveis

O relatório da Palo Alto Networks termina com um aviso de que "os usuários finais devem ter cuidado ao instalar o firmware de código aberto". Definitivamente, isso é verdade. Projetos desenvolvidos pela comunidade nem sempre recebem atualizações de segurança e confiabilidade a tempo e, às vezes, podem abrir enormes buracos que os hackers podem explorar facilmente. De fato, a versão original do firmware do Tomato não tem uma versão estável há quase uma década, o que fala por si. Nesse caso em particular, no entanto, a natureza de código aberto do Tomato e sua idade não são os principais problemas.

Prontamente, os usuários acessam seus roteadores Tomato usando "root" ou "admin" como nome de usuário. A senha padrão nos dois casos é "admin". Essas são as credenciais de login que a botnet Muhstik usa para comprometer qualquer roteador Tomato que encontrar.

Diferentes fabricantes oferecem diferentes interfaces gráficas de usuário, portanto, não há um guia passo a passo para alterar a senha padrão em todos os roteadores baseados em Tomato. Todos eles oferecem uma facilidade para fazê-lo, e os operadores de Muhstik estão atacando usuários que não se preocuparam em usá-lo. A história nos ensina que eles não estão exatamente agarrados aos canudos também.

As credenciais padrão são facilmente obtidas, e forçá-las brutalmente não envolve um grande número de tentativas de login, o que significa que as chances de levantar suspeitas são baixas. É por isso que os hackers adoram esse método específico para infectar os dispositivos das pessoas.

Os usuários devem aprender que os gadgets que eles se conectam à Internet nunca devem ser protegidos pelos nomes de usuário e senhas impressos na embalagem ou na parte inferior do dispositivo. Quanto mais cedo eles fizerem isso, melhor.