MQsTTang Backdoor visa dispositivos IoT explorando vulnerabilidades do sistema
O MQTTang Backdoor é uma ameaça de cavalo de Tróia que visa dispositivos da Internet das Coisas (IoT) e usa o protocolo MQTT (Message Queuing Telemetry Transport) como meio de comunicação com seu servidor de comando e controle (C&C). Foi descoberto pela primeira vez em 2018 por pesquisadores da Unit 42, a equipe global de inteligência de ameaças da Palo Alto Networks.
O MQTTang Backdoor é um malware sofisticado que usa um processo de infecção em vários estágios para evitar a detecção e comprometer os dispositivos IoT. A primeira etapa envolve a varredura da Internet em busca de dispositivos IoT vulneráveis que usam o protocolo MQTT. Depois que um dispositivo vulnerável é identificado, o malware obtém acesso a ele explorando uma vulnerabilidade conhecida ou usando credenciais de login padrão.
MQTTang Backdoor pode baixar atualizações e instruções de servidores C&C
Depois que o malware obtém acesso ao dispositivo, ele usa o protocolo MQTT para se comunicar com seu servidor de comando e controle. O servidor envia comandos para o malware, que podem incluir roubo de dados, lançamento de ataques DDoS ou instalação de malware adicional. O malware foi projetado para ser persistente, o que significa que pode sobreviver a uma reinicialização do dispositivo infectado e continuar a se comunicar com o servidor de comando e controle.
Um dos recursos exclusivos do MQTTang Backdoor é sua capacidade de usar o protocolo MQTT para se comunicar com seu servidor de comando e controle. O protocolo MQTT é um protocolo de mensagens leve comumente usado em dispositivos IoT porque é eficiente e pode funcionar com largura de banda de rede limitada. No entanto, isso também o torna um alvo atraente para autores de malware porque permite que eles se comuniquem com dispositivos infectados sem levantar suspeitas.
Etapas de mitigação para ajudar a proteger seus sistemas contra um ataque backdoor MQTTang
Para se proteger contra MQTTang Backdoor e outros malwares semelhantes, é essencial seguir as práticas recomendadas para proteger dispositivos IoT. Isso inclui alterar as credenciais de login padrão, aplicar atualizações e patches de software assim que estiverem disponíveis e usar senhas fortes. Além disso, é recomendável usar firewalls e sistemas de detecção de intrusão para monitorar o tráfego de rede e detectar qualquer atividade suspeita.