Na semana passada o analista de malware da Kaspersky, Fabio Assolini, apresentou durante a conferência Virus Bulletin, nos EUA, estatísticas sobre algo que já ocorre no Brasil há algum tempo: a infecção de modems DSL. 4,5 milhões desses dispositivos foram infectados no Brasil somente no ano passado – e até março desse ano cerca de 300 mil deles permaneciam infectados e espalhando malware.
Os dados são do CERT (arquivo PDF), Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança, e não são exatamente uma novidade – já eram conhecidos desde março. A apresentação de Assolini focou em algo que não era muito conhecido até então: o método de infecção usado pelos responsáveis por esse tipo de ataque. Segundo o analista, o método mais usado se aproveita de uma vulnerabilidade conhecida em um chip da Broadcom, amplamente usado nos modems DSL.
A vulnerabilidade permite que, com um script que automatiza o processo, qualquer pessoa mal-intencionada fizesse login em equipamentos sem a necessidade de saber a senha de administrador. Uma vez logados, eles alteraram o DNS padrão para um DNS infectado e, com isso, fizeram vários usuários baixarem programas maliciosos ao entrar em sites legítimos. Em novembro do ano passado relatamos um desses casos, que na época suspeitava-se ser de envenenamento de DNS.
Sobre o ataque, Assolini disse que isso é causado por muitos motivos, dentre eles o fato de usuários de banda larga não terem a consciência de que precisam manter seus modens atualizados com a firmware mais recente. Mas o analista também culpa os provedores de banda larga no Brasil, já que eles costumam oferecer modens antigos e vulneráveis a ataques, e a Anatel, que segundo o pesquisador, falha ao não testar a segurança dos dispositivos de rede que homologa.
Segundo dados de abril desse ano da Anatel, dos mais de 18,3 milhões de usuários da banda larga fixa, 10,7 milhões acessam o serviço usando tecnologia DSL. Considerando que esse número era menor ao final de 2011, 4,5 milhões de modems DSL infectados é uma parcela gigante de pessoas potencialmente comprometendo os próprios computadores – e um grande exemplo de como provedores e usuários no Brasil ainda lidam mal e porcamente com segurança na web.
Para quem quiser ainda mais detalhes sobre esse tipo de ataque, o blog oficial da Kaspersky tem um post do próprio Fabio explicando suas minúcias.