Invasores usaram vulnerabilidade de dia zero para gravar FTP e e-mails para acessar credenciais de login
A empresa chinesa de segurança Qihoo 360 informa que, em dezembro do ano passado, um grupo de hackers invadiu os roteadores corporativos DrayTek para gravar e espionar conexões FTP (File Transfer Protocol) e tráfego de e-mail dentro da rede corporativa. A DrayTek é uma fabricante de CPEs (Customer Premises Equipments) de banda larga, incluindo firewalls, dispositivos VPN, roteadores e dispositivos LAN sem fio. Ela opera no Brasil por meio de uma distribuidora própria.
A Netlab, divisão de segurança de rede da Qihoo, publicou relatório no qual informa que seus pesquisadores de segurança detectaram dois grupos diferentes de ataque, cada um explorando uma vulnerabilidade de dia zero no roteador DrayTek Vigor:
• Grupo de ataque A, usando roteadores de balanceamento de carga e
• Grupo de ataque B, usando gateways VPN.
A Qihoo alertou a DrayTek sobre a vulnerabilidade de dia zero, mas a mensagem foi enviada para destinatário errado. Embora a empresa tenha tomado conhecimento sobre ataques de dia zero do grupo B em janeiro, somente em 10 de fevereiro ela lançou patches de correção. Os modelos atacados são roteadores antigos, já fora de linha.
A empresa chinesa relatou que foram atacados 10 mil equipamentos dos modelos DrayTek Vigor 2960, 3900 e 300B, que estavam executando a versão vulnerável do firmware.
Grupos de ataque
• Grupo de ataque A – Entre os dois grupos, o grupo A de ataque está bastante adiantado e avançado. Ele explorou uma vulnerabilidade no mecanismo de login criptografado dos roteadores DrayTek para inserir código malicioso nos campos de login de nome de usuário através dos quais os hackers poderiam controlar o roteador.
Os hackers poderiam ter usado esse acesso para iniciar ataques distribuídos de negação de serviço (ataque DDoS – Distributed Denial of Service), mas eles o usaram como um dispositivo espião para registrar o tráfego vindo de FTP e e-mails.
Os scripts gravados foram enviados para um servidor remoto todas as segundas, quartas e sextas-feiras às 24h. A Zdnet informa que gravou os dados para acessar as credenciais de login das contas de e-mail corporativo e FTP.
• Grupo de ataque B – A Qihoo nomeou o segundo grupo de hackers como “grupo de ataque B”. Esse grupo usou uma vulnerabilidade de dia zero diferente, divulgada pela primeira vez no blog Skull Army em um post de 26 de janeiro. Os cibercriminosos o descobriram no blog e começaram a explorá-lo em apenas dois dias.
A Zdnet relata que “os hackers usaram esse segundo dia zero para executar código em dispositivos DrayTek vulneráveis, explorando um bug no processo ‘rtick’ para criar contas backdoor nos roteadores invadidos. O que eles fizeram com essas contas permanece desconhecido”.