Estudo registra conversas na web, mostrando interesse em vulnerabilidades de dispositivos da IoTpara possíveis oportunidades de ataque
Pesquisadores da Trend Micro fizeram um detalhado levantamento sobre o interesse dos cibercriminosos nos dispositivos e vulnerabilidades da Internet das Coisas. O resultado do trabalho está num relatório chamado “The Internet of Things in the Cybercrime Underground”, que analisa especialmente as conversações sobre o assunto na Dark Web. Os pesquisadores localizaram conversas que vão desde tutoriais até esquemas de monetização para ataques relacionados à IoT. Dispositivos expostos e vulnerabilidades são grandes interesses dessas comunidades, que buscam possíveis oportunidades de ataque.
O estudo traz uma visão geral do que os cibercriminosos veem como aberturas perfeitas para ataques em tecnologias IoT. Foram estudadas cinco comunidades underground de cibercrime, baseadas na língua usada nos fóruns. Por ordem de atividade e sofisticação estão as de russo, português, inglês, árabe e espanhol.
Grupo dos russos
A comunidade russa é a maior e possui as discussões mais dinâmicas relacionadas a ataques IoT. Nela, os cibercriminosos frequentemente postam anúncios para serviços ou informações pelas quais eles estão dispostos a pagar – sendo vulnerabilidades uma delas. A monetização é o foco nessa comunidade e posts sobre dispositivos menos comuns mostram que há a exploração de novas oportunidades. Medidores inteligentes e bombas de gás foram mencionados, por exemplo, mas só foram oferecidas para venda versões físicas modificadas.
Grupo dos brasileiros
A segunda comunidade mais ativa foi a de língua portuguesa, que tem principalmente usuários brasileiros. O destaque das descobertas sobre ela inclui uma discussão sobre um serviço criminoso que se aproveita de infecções de roteador, que eles chamam de “KL DNS”. É um serviço de redirecionamento para permitir que os atacantes roubem informações, incluindo as bancárias. Os pesquisadores suspeitam que os cibercriminosos podem estar à procura de oportunidades para lançar ataques como o que causou uma infecção em massa de roteadores MikroTik no Brasil em 2018.
Grupo dos gringos
Já a rede cibercriminosa de língua inglesa está cheia de tutoriais para explorar vulnerabilidades. Há, por exemplo, fóruns de discussão sobre como explorar uma vulnerabilidade em certos roteadores Netgear que podiam expor credenciais de senha. Além dos tutoriais, a comunidade inglesa também continha códigos de exploit e mostrou interesse especial em explorar impressoras conectadas. Isso se deve provavelmente à forte presença em ambientes industriais e corporativos, o que as torna pontos de entrada potenciais. Outro interesse dos cibercriminosos que frequentam a comunidade inglesa são as ferramentas de descoberta. A maioria das menções foi de ferramentas para roteadores, mas um post falava sobre o “aztarna”, uma ferramenta de descoberta automatizada para robôs industriais.
Grupo de árabe
A comunidade árabe, em comparação com as outras, era muito menos agressiva. Porém, os cibercriminosos neste fórum mostraram interesse em vulnerabilidades IoT, compartilhando notícias sobre descobertas recentes.
Grupo de espanhol
Por fim, a comunidade de língua espanhola se interessava por métodos para encontrar dispositivos desprotegidos ou com acesso sem autenticação, que podem ser pontos de entrada para novos ataques. Um exemplo disso é uma discussão sobre como usar Google dorks para encontrar frigoríficos industriais desprotegidos. Essa comunidade até mesmo produziu um software que supostamente poderia encontrar dispositivos específicos usando pesquisas do buscador Shodan. Essa ferramenta se chama “Simple Active Bot” e seu vendedor afirma que ela pode permitir acesso remoto aos dispositivos que ela encontra. Considerando que não é possível testar desse tipo de software, isso pode ser um golpe. O vendedor também estava oferecendo a ferramenta nos fóruns ingleses.
Conclusão e recomendações de segurança
As descobertas do estudo mostram que os cibercriminosos de diferentes comunidades estão no processo de refinar seus ataques contra dispositivos IoT. Embora esquemas de monetização para ataques relacionados à IoT ainda não estejam em vigor para muitas das comunidades do cibercrime, o interesse encontrado aponta para essa direção.