Kaiji Malware Brute Forças de adivinhação fáceis de combinar nome de usuário e senha para ataques bem-sucedidos
A chamada revolução da Internet das Coisas (IoT) mudou o ecossistema online em muitos aspectos diferentes, e a cibersegurança não é exceção. Os hackers sabiam que dispositivos inteligentes e outros dispositivos de IoT são pouco mais que computadores pequenos com sistemas operacionais reduzidos (principalmente baseados em Linux), e estavam determinados a explorar esse fato.
Algumas ameaças de IoT pouco bem-sucedidas apareceram antes de Mirai entrar em cena e reescrever completamente o livro de registros quando se trata de ataques de DDoS (Distributed Denial of Service). Os ataques colossais da botnet foram poderosos o suficiente para derrubar grandes partes da internet em regiões inteiras do mundo e mostraram o quão perigosos os dispositivos IoT armados poderiam ser. Eles também mostraram a todos o quão ruim é o estado de segurança da IoT. Você pensaria que já teríamos aprendido nossas lições agora. Você pensaria que teríamos tornado nossos dispositivos inteligentes mais difíceis de invadir. Bem, você estaria errado.
Kaiji - uma nova família de malware de IoT
Um grupo de pesquisadores independentes chamado MalwareMustDie encontrou recentemente o Kaiji - uma variedade anteriormente desconhecida de malware da IoT. Embora não tivessem ouvido falar antes, os especialistas provavelmente pensaram a princípio que a única coisa nova sobre o malware seria o nome.
Após os históricos ataques DDoS da Mirai, a comunidade de segurança e as agências policiais começaram a caçar os autores do malware. Eventualmente, os criadores da botnet DDoS mais poderosa do mundo foram identificados, mas antes disso, o código fonte da Mirai vazava. Desde então, praticamente todas as famílias de malware da IoT que se propuseram a lançar ataques DDoS foram baseadas no Mirai. Existem novos nomes e novos componentes, mas o núcleo é sempre praticamente idêntico e vem do infame Mirai.
Kaiji, no entanto, foi escrito do zero em Go Lang. Nem uma única linha de código foi copiada de nenhum outro lugar, o que significa que, pela primeira vez em algum tempo, temos uma família de malware IoT que podemos comparar com o Mirai. Então, como se compara?
Kaiji é o novo Mirai?
O fato é que não sabemos muito sobre Kaiji no momento. Pesquisadores da Intezer escreveram um relatório técnico sobre o novo malware, o que apóia a suspeita do MalwareMustDie de que o Kaiji foi escrito por hackers chineses. Aparentemente, o malware está preparado para lançar vários tipos diferentes de ataques DDoS, mas parece que ele ainda está em desenvolvimento. Em um ponto durante a análise, os pesquisadores de Intezer notaram que Kaiji estava consumindo muita RAM e mais tarde viram que partes da infraestrutura de Comando e Controle não estavam operacionais - uma indicação clara de que os autores de malware ainda têm algum trabalho a fazer.
Eles escolheram seu vetor de infecção inicial, no entanto, e sua decisão pode nos dizer muito não apenas sobre Kaiji, mas sobre todo o cenário da IoT.
Novo malware, truques antigos
O Kaiji infecta novos dispositivos forçando brutalmente suas credenciais de login SSH. O SSH é um protocolo de rede que permite controlar remotamente outros dispositivos e, em muitos lugares, você o descreve como muito mais seguro que o Telnet, o protocolo de comunicação que a Mirai usa para recrutar dispositivos inteligentes. De fato, uma das principais diferenças é que as conexões SSH são criptografadas, mas nesse caso em particular, isso não importa.
Mirai e Kaiji seguem brutalmente, o que significa que os ataques são direcionados não aos protocolos, mas às credenciais de login. O simples fato de essas credenciais de logon ainda apresentarem um vetor de infecção válido fala muito sobre o estado da segurança da IoT. Kaiji e Mirai nem sequer exploram as más decisões de gerenciamento de senhas das pessoas. Em vez disso, eles aproveitam o fato de que muitos dispositivos ainda usam credenciais padrão.
Os fabricantes de gadgets de IoT liberam os dispositivos no mercado com credenciais de login fáceis de adivinhar que podem permitir que qualquer pessoa as controle. Na esperança de que ninguém estivesse interessado em invadir esses gadgets em particular, os fornecedores geralmente não conseguem implementar uma maneira de atualizar as senhas fracas, o que torna ainda mais provável que um ataque seja bem-sucedido. Mesmo se houver um mecanismo de redefinição de senha, os usuários geralmente não podem se incomodar em usá-lo.
Esse foi o caso em 2016, quando a Mirai fez suas primeiras marcas, e claramente é o caso agora, o que mostra que não aprendemos nada nos últimos quatro anos.
