Início » Segurança » 4,5 milhões de modems DSL foram infectados no Brasil em 2011

4,5 milhões de modems DSL foram infectados no Brasil em 2011

Por
5 anos atrás
Já conhece a nova extensão do Tecnoblog? Baixe Agora

Na semana passada o analista de malware da Kaspersky, Fabio Assolini, apresentou durante a conferência Virus Bulletin, nos EUA, estatísticas sobre algo que já ocorre no Brasil há algum tempo: a infecção de modems DSL. 4,5 milhões desses dispositivos foram infectados no Brasil somente no ano passado – e até março desse ano cerca de 300 mil deles permaneciam infectados e espalhando malware.

Os dados são do CERT (arquivo PDF), Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança, e não são exatamente uma novidade – já eram conhecidos desde março. A apresentação de Assolini focou em algo que não era muito conhecido até então: o método de infecção usado pelos responsáveis por esse tipo de ataque. Segundo o analista, o método mais usado se aproveita de uma vulnerabilidade conhecida em um chip da Broadcom, amplamente usado nos modems DSL.

A vulnerabilidade permite que, com um script que automatiza o processo, qualquer pessoa mal-intencionada fizesse login em equipamentos sem a necessidade de saber a senha de administrador. Uma vez logados, eles alteraram o DNS padrão para um DNS infectado e, com isso, fizeram vários usuários baixarem programas maliciosos ao entrar em sites legítimos. Em novembro do ano passado relatamos um desses casos, que na época suspeitava-se ser de envenenamento de DNS.

Sobre o ataque, Assolini disse que isso é causado por muitos motivos, dentre eles o fato de usuários de banda larga não terem a consciência de que precisam manter seus modens atualizados com a firmware mais recente. Mas o analista também culpa os provedores de banda larga no Brasil, já que eles costumam oferecer modens antigos e vulneráveis a ataques, e a Anatel, que segundo o pesquisador, falha ao não testar a segurança dos dispositivos de rede que homologa.

Segundo dados de abril desse ano da Anatel, dos mais de 18,3 milhões de usuários da banda larga fixa, 10,7 milhões acessam o serviço usando tecnologia DSL. Considerando que esse número era menor ao final de 2011, 4,5 milhões de modems DSL infectados é uma parcela gigante de pessoas potencialmente comprometendo os próprios computadores – e um grande exemplo de como provedores e usuários no Brasil ainda lidam mal e porcamente com segurança na web.

Para quem quiser ainda mais detalhes sobre esse tipo de ataque, o blog oficial da Kaspersky tem um post do próprio Fabio explicando suas minúcias.

Mais sobre: , ,
  • TatoGomes

    O Tecnoblog voltou! YAY! \o/

    • hpcarlos

      Cara só agora eu me deparei o quanto já estou dependente do Tecnoblog :(.
      Eu entrava de 1 em 1 hora, pra ver se tinha voltado.

  • Alan Silva

    Tecnoblog, mais o que foi isso, cheguei as 7:00 no trabalho pra ler as noticias e estava fora do “ar” 🙁

  • William Reis Fernandes

    Acho que vocês devem, informar as marcas e modelos.
    Só assim estarão ajudando os usuários, D-LINK e seus modelos são exemplos.

    “A D-Link está disponibilizando uma atualização de firmware para os modems modelos DSL-500B, DSL-2640B e DSL-2730B. “

  • Skull Lord

    William, são muitas marcas e modelos para serem colocados aqui.
    Se deseja saber se o seu modem tem ou não uma atualização, basta entrar no site do fabricante do seu modem e olhar na parte de suporte. Simples e rápido assim. 😉

  • Alexandre Cinci

    Bemvindos!!!! Finalmente hein? VEjam se contratam um datacenter decente hein. pois nao eh primeira vez q vcs sofrem de “apagao”

    • Vinicius Kinas

      Mobilão quis economizar no serviço. rs.

      Agora, quando volta a opção de notificações pra respostas de um comentário? 😛

  • trovalds

    Eu sofri com isso semana passada. Liguei um D-Link 500B aqui pra testar, de repente começou essas bizarrices. Pensando que era algum malware na máquina, lá vou eu fazer a rotina de “caça” aos malwares. Mas curiosamente nada se detectava e nada mudava. Comecei a desconfiar quando tentei entrar na inteface do modem, o malware impede você de ter acesso a ele. A “receita do bolo” pra escapar do problema foi:

    – Reset físico no modem;
    – ANTES de reconfigurar a conexão, mude TODAS as senhas padrão para senhas diferente, fortes de preferência (8 dígitos no mínimo, letras e números, maiusculas e minúsculas, etc, vale tudo);
    – Somente após isso configure novamente sua conexão.

    Uma dica pra descobrir se seu modem foi afetado: quando contaminado, fica um tráfego frenético de dados sem que nenhum programa esteja fazendo qualquer atividade relacionada à internet, como downloads ou assistir vídeos, por exemplo.

  • Diego Marcell

    Eu fui uma dessas vitimas. Ano passado quando eu tentava acessar o site da Globo.com, por exemplo, ele entrava em outro site, cheio de propagandas, era a coisa mais doida que ja tinha visto. E o pior, quando eu tentava acessar meu DLINK 500b a senha havia mudado, tinha que resetar o modem e reconfigurar tuuuuudo novamente, mas infelizmente não durava 1 mês e eles hackeavam novamente. Foi uma fase turbulenta e estressante, não sei o que houve, mas parou.

  • Daniel Lobo

    Bom, mas não adianta você ter o hábito de atualizar se o fabricante já abandonou os updates do aparelho há muito tempo. A última atualização do meu modem é de Setembro de 2011. Se alguma falha for descoberta e explorada, eu estou vulnerável.

  • Fabian Rattoni

    isso nao e estar infectado.
    e ser atacado.

  • Foi descoberto em uma conversa de IRC entre os Hackers que um deles lucrou 100 mil reais com os ataques e que desfrutou da prostituição no Rio de Janeiro.

    Fonte: http://goo.gl/fQf9h

  • trovalds

    Só complementando: a falha no chip permite um ataque direto ao modem pra tentar descobrir a senha, seja qual método for. Como normalmente ninguém troca as senhas padrão por desconhecer isso ou por falta de vontade acaba sofrendo do problema. Aqui, só pra testar, resetei o modem e deixei as senhas padrão só pra ver oq acontecia. Menos de 1h depois o modem estava infectado novamente. Resetei, fiz minha “receita de bolo” e até agora nem sinal do problema.

  • Mendel Gusmão

    Fo*a é que eu cheguei a explorar falha similar mas com fins didáticos no começo do ano passado. Não citei nomes nem entrei em contato com as operadoras e uma fabricante porque é muito comum um pesquisador desse tipo ser ignorado ou pior, retaliado e processado. O estudo virou dois posts: http://pvrehaavok.wordpress.com/2011/02/20/combinacao-perigosa/ + http://pvrehaavok.wordpress.com/2011/03/13/combinacao-perigosa-ii/