Uma nova onda de buscas por dispositivos MikroTik expostos na Internet se iniciou a duas semanas atrás, mais precisamente no dia 16 de Abril, e foi detectada pela rede de Inteligência de Ameaças da NetSensor, a HackNet.
A campanha está buscando por equipamentos MikroTik que estejam expondo sua API na porta padrão 8728/TCP.
Após um trabalho de enriquecimento e análise dos dados coletados pela HackNet, foram identificadas muitas informações valiosas e reveladoras sobre essa atividade.
Origens inusitadas
No cenário atual, as maiores origens de tráfegos maliciosos geralmente se concentram em Estado Unidos, China, Reino Unido, Coréia do Sul, Índia e Rússia, como pode ser visto no gráfico abaixo:
No entanto, ao analisar as origens envolvidas na busca por equipamentos MikroTik, o cenário encontrado é outro, completamente diferente, com praticamente toda a atividade se concentrando em França, Suíça, Bulgária e Lituânia.
Quando levamos essa informações para um mapa de calor, vemos a mudança do cenário dos tráfegos maliciosos globais abaixo:
Para esse outro cenário totalmente diferente, que mostra a busca global pela API de equipamentos MikroTik:
Busca global
A busca foi identicada de forma linear em todos os 22 pontos de presença da HackNet no mundo, caracterizando uma busca global por equipamentos MikroTik na Internet, sem demostrar nenhum tipo de preferência por país ou região.
Motivação
Um dos principais motivos para esse interesse é conseguir assumir o controle dos dispositivos e recrutá-los para compor uma grande rede (botnet) com alta capacidade ofensiva para operar ataques de negação de serviço (DDoS) de grandes proporções.
Ataques de DDoS: A origem do problema
Muito tem se visto ataques de DDoS de proporções assustadoras contra Provedores de serviço de Internet (ISP), causando problemas para a continuidade dos serviços e prejudicando diretamente milhares de clientes desses provedores.
Investimentos tem sido feitos em tecnologia, pessoas e processos para contornar o problema quando um ataque está em andamento mas, muitas vezes, tratam-se de medidas de contorno "rudimentares" para amenizar o problema naquele momento.
Assim como no mundo real, colocar o foco em tentar se blindar do poder de fogo do inimigo é como combater a criminalidade apenas fazendo campanhas para apreensão de armas de fogo. É preciso bem mais do que isso, senão as armas apenas serão substituídas por outras e o ciclo irá se repetir, em uma tentativa inútil de se proteger de um poder de fogo que se renova e cresce mais e mais.
É preciso olhar para origem desse "poder de fogo" e trabalhar para evitar que novas armas sejam adquiridas pelos criminosos.
Vítimas do seu próprio descaso
Ironicamente, os provedores de internet, que são uma das maiores vítimas de ataques de DDoS, também são um dos principais responsáveis por todo esse poder de fogo na mão dos criminosos.
Somente no Brasil temos mais de 10 mil ISP, com a grande maioria sendo empresas pequenas, lutando pela sobrevivência do negócio, com grandes restrições de orçamento, tecnologia e pessoas capacitadas em questões de segurança cibernética.
O resultado disso são equipamentos mal configurados, expostos na Internet de modo desnecessário, com credenciais de acesso conhecidas, sem receber atualizações e rodando versões de softwares com diversas vulnerabilidades conhecidas. A consequência são hackers do mundo todo buscando por esses equipamentos para transformá-los em novas armas em seu poderoso arsenal.
Bloqueio das origens atuais
Os atores identificados nessa nova campanha estão utilizando como base estruturas com endereços localizados na França, Suíça, Bulgária e Lituânia.
Quem não tiver necessidade de comunicar-se com essas localidades pode optar por fazer o bloqueio por geolocalização desses países.
Para ajudar na mitigação dessa ameaça para aqueles que não dispõe de bloqueio por geolocalização, os analistas de segurança podem evitar mais de 90% das origens identificadas fazendo o bloqueio dos seguintes blocos de endereços IP:
103.102.230.0/24
37.44.238.0/24
185.255.112.0/24
203.55.81.0/24
141.98.7.0/24
141.98.11.0/24
94.156.66.0/24
91.92.252.0/24
Clientes da NetSensor
Clientes da NetSensor que utilizam a proteção da rede neural artificial da HackNet são automaticamente protegidos de todas as origens identificadas na rede global, sem a necessidade de nenhuma ação humana.
Empresas que utilizem o serviço HackAlert são automaticamente notificados caso a HackNet observe tráfego suspeito proveniente de seus endereçamentos de internet, com informações detalhadas sobre o tráfego observado.
As tecnologias da NetSensor podem proteger dessa e de tantas outras ameaças contra vulnerabilidades em toda a estrutura, incluindo proteção para firewalls e roteadores internet.
Considerações finais
Vivemos uma nova guerra, a Guerra Digital, que cada dia tem se mostrado ser mais perigosa, com sequestro e roubos de informações, acessos não autorizados e controle de ambientes alheios, podendo gerar grandes problemas para empresas públicas e privadas, governos e, até mesmo, comprometer todo o funcionamento de grandes centros urbanos.
Com os recursos e técnicas avançadas utilizadas por criminosos, torna-se fundamental a adoção de estratégias de segurança que se apoiem em tecnologias inteligentes baseadas em Inteligência Articial (IA) e Inteligência de Ameaças (Threat Intel) para identificar e neutralizar rapidamente as novas ameaças que sugem nesse cenário em constante e rápida transformação.
Leia também:
Comments