Visite também: Currículo ·  Efetividade BR-Mac

O que é LinuxDownload LinuxApostila LinuxEnviar notícia


Kaspersky diz que ataque comprometeu mais de 4 milhões de modems banda larga no Brasil

Via idgnow.uol.com.br:

Milhões de internautas brasileiros foram vítimas de um ataque que invadiu e alterou as configurações de modems DSL (banda larga), fazendo com que as visitas ao Google ou Facebook, por exemplo, fossem redirecionadas para sites falsos. Essas páginas, por sua vez, infectavam o micro com malware capaz de roubar dados bancários.

O ataque infectou mais de 4,5 milhões de modems DSL, disse o analista de malware da Kaspersky Lab no Brasil, Fabio Assolini, em post no blog da empresa.

A vulnerabilidade explorada pelos crackers permitia o uso de um código (script) simples para roubar senhas e acessar remotamente a configuração dos modems. A alteração fazia com que, ao digitar um site, como www.meubanco.com.br, o internauta fosse parar em um site clonado, que injetava um código malicioso no sistema.

“Esse golpe, em ação desde 2011, explora uma vulnerabilidade de firmware, dois scripts maliciosos e 40 servidores DNS maliciosos. Ele afeta seis fabricantes de hardware, resultando em milhões de internautas brasileiros vítimas de um ataque em massa contínuo e silencioso”, diz Assolini. 

(…) Os ataques foram registrados em modems de seis fabricantes, dos quais cinco são populares no Brasil. “A negligência dos fabricantes e dos provedores e a ignorância dos órgãos oficiais do governo criaram uma” tempestade perfeita, permitindo aos cibercriminosos atacar à vontade”, escreveu o especialista. (…)


• Publicado por Augusto Campos em 2012-10-02

Comentários dos leitores

Os comentários são responsabilidade de seus autores, e não são analisados ou aprovados pelo BR-Linux. Leia os Termos de uso do BR-Linux.

    Clésio Luiz (usuário não registrado) em 2/10/2012 às 10:42 am

    Interessante. Ele diz que são seis marcas de modem e que cinco são populares no Brasil. Mas não diz quais são as marcas nem os modelos, só que “pode” ser uma vulnerabilidade num driver Broadcom em modens DSL. Depois afirma que conversou com um dos crakers via chat e que este ganhou mais de 100.000 reais e que pretende gastar em viagens ao Rio de Janeiro na companhia de prostitutas…

    Tá cheirando a notícia sensacionalista, espero que seja isso mesmo. Afinal, de vez em quando a Kaspersky solta notícias bombásticas sobre grandes coisas que eles descobriram ou recomendam que os outros façam.

    Apesar disso, vou pesquisar um pouco só para me prevenir.

    Clésio Luiz (usuário não registrado) em 2/10/2012 às 10:50 am

    O link para o blog que originou a notícia: http://www.securelist.com/en/blog/208193852/The_tale_of_one_thousand_and_one_DSL_modems

    Daniel (usuário não registrado) em 2/10/2012 às 11:02 am

    Não é sensacionalista. Essa noticia ja saiu no site Linha Defensiva no começo do ano, vejam:
    http://www.linhadefensiva.org/2012/03/criminosos-alteram-dns-de-modems-usando-falha-para-realizar-fraudes/

    Suhanko (usuário não registrado) em 2/10/2012 às 11:18 am

    Simples, invés de utilizar o DNS do gateway, utilizar um DNS manual na máquina, por exemplo, o do google: 8.8.8.8

    Lauro César (usuário não registrado) em 2/10/2012 às 11:56 am

    Tive alguns problemas recentes em dois locais que acredito terem se originado no modem. Em um deles foi até pago um boleto on line no valor aproximado de R$40.000,00 (quarenta mil reais), mas o banco percebeu e bloqueou, entrando, em seguida em contato com o correntista. Neste local, que é onde minha esposa trabalha, a máquina usada para movimentação bancária tinha o OpenSUSE 12.1 instalado, portanto acredito que não era o PC que estava contaminado. Aqui em meu trabalho tive problema tb estranho ao tentar fazer busca no google e abrindo uma janela para instalar um programa o que naturalmente não instalei. Nos dois sistemas eu estava utilizando os DNS’s do OpenDNS (208.67.222.222 e 208.67.220.220)

    xamão (usuário não registrado) em 2/10/2012 às 1:03 pm

    Não adianta nada usar qualquer dns do google, opendns ou do “Além”. Um roteador comprometido pode redirecionar qualquer pacote para qualquer lugar. Inclusive redirecionar uma consulta ao dns do google para o dns que o roteador bem entender.

    A falsa sensação de segurança é pior que a falsa sensação de inseguraça.

    Os que se julgam totalmente seguros só pq usam linux com o dns do google devem ser as vitimas mais divertidas durante o atendimento a incidentes.

    bsduser (usuário não registrado) em 2/10/2012 às 1:54 pm

    por isso eu sempre uso o modem adsl no modo bridge e a placa de rede SEM IP…
    desabilito tudo que tem no modem e comando tudo dentro do BSD…
    Nunca tive problema….

    Luis Knob (usuário não registrado) em 2/10/2012 às 2:30 pm

    Por que não fazem o mais simples.. bloquear conexões de entrada e manter as de saída stateful? Pq colocar o modem em dmz?

    Rodrigo Zadra Armond (usuário não registrado) em 2/10/2012 às 3:27 pm

    Um dos modens afetados, desde o ano passado, é o D-LINK DSL-2640B – tenho um e tive problemas com ele.

    O problema é que o modem era invadido e tinha toda sua configuração alterada – senhas, DNS, etc.

    Fiz vários contatos com o suporte da D-LINK (tenho todas as conversas) e em nenhum momento eles assumiram que existia o problema. Sempre era a mesma conversa de atualizar o sistema operacional (sic) e resetar o modem – mesmo eu demonstrando que o problema era do firmware deles.

    Recentemente a D-LINK colocou em seu site uma atualização de firmware para alguns modens (inclusive esse DSL-2640B).

    Ribamar FS (usuário não registrado) em 2/10/2012 às 3:55 pm

    Augusto, ao colar esta notícia da Kaspersky no Facebook para compartilhar eu estranhei que abaixo aparecia algo que eu não havia selecionado. Isso:

    http://www.meubanco.com.br/
    http://www.meubanco.com.br/

    Repeti várias vezes e ele era adicionado.
    Quando colo no gedit ele não aparece. Suspeitei de algum javascript mas não fui atrás.

    Wander Mariano (usuário não registrado) em 2/10/2012 às 4:15 pm

    Algumas teorias aqui são meio idiotas. Nem o Google e nem o OpenDNS iriam emprestar suas infraestruturas(servidores DNS) pra golpes deste tipo.

    Ribamar, poderia me dar mais detalhes pelo formulário de contato?

    Aliás, não precisa, eu sei o que houve: a URL que mencionas (meubanco. etc) consta no texto da notícia, como um exemplo mencionado pelo autor – e o Facebook, ao postar, faz parsing do texto e tenta extrair as URLs, causando o efeito que descreves.

    Joaquim Mariano (usuário não registrado) em 2/10/2012 às 5:45 pm

    O pior de tudo: as traduções do IDG Now! são um lixo.

    André (usuário não registrado) em 2/10/2012 às 6:25 pm

    Recentemente a D-LINK colocou em seu site uma atualização de firmware para alguns modens (inclusive esse DSL-2640B).

    Eu fiz a atualização desse modem com o firmware oficial que está no site. Se, por um lado, ele corrige a vulnerabilidade, por outro agora meu celular Android só funciona em casa com IP Fixo! Mandei e-mail pra eles e disseram que o problema estava com o celular (detalhe: funcionava perfeitamente antes da atualização) e sugeriram voltar ao firmware anterior.

    Estou procurando um modem de outro fabricante para comprar em Dezembro.

    Lauro César (usuário não registrado) em 2/10/2012 às 6:47 pm

    Walter Mariano, eu tb acho esse tipo de teoria idiota, só não consegui encontrar AQUI nenhuma menção a ela, excetuando-se, é claro a sua.

    Lauro César (usuário não registrado) em 2/10/2012 às 6:54 pm

    Xamão, obrigado pelos esclarecimentos, mas eu apenas citei que nos sistemas que apresentaram problemas comigo os roteadores estavam configurados com o DNS do OpenDNS, ou seja, isto apenas confirma o que vc disse logo abaixo e eu nunca disse o contrário. Em tempo, logo após configurar o Roteador o mesmo toma vida própria e eu não consigo acessar sua página administrativa mais, posso digitar o endereço IP “trocentas” vezes que dá erro e não entra. A solução, provisória: resetar, mas logo em seguida o problema retorna.

    bebeto_maya (usuário não registrado) em 2/10/2012 às 7:33 pm

    Alguém sabe do D-link DSL 502-G? Algum proprietário com o problema apresentado?

    Artus Rocha (usuário não registrado) em 2/10/2012 às 9:44 pm

    Esses roteadores sofreram esta adulteração no firmware em que momento da cadeia de distribuição.
    Imagino que eles não seriam adulterados remotamente, uma vez já na residencia dos usuarios, certo?

    Artus Rocha (usuário não registrado) em 2/10/2012 às 9:45 pm

    Esses roteadores sofreram esta adulteração no firmware em que momento da cadeia de distribuição?
    Imagino que eles não seriam adulterados remotamente, uma vez já na residencia dos usuarios, certo?

    Artus Rocha (usuário não registrado) em 2/10/2012 às 9:47 pm

    Desculpas, acabei duplicando o comentario.

    Sim, remotamente, leia nos artigos linkados.

    Agora, a atualização da D-Link é uma palhaçada. Não há informação nenhuma sobre números de versão nem o que vai ser alterado e nem nada, apenas um executável do Windows para baixar e acabou-se. Zero de informação, tudo no escuro. O instalador até roda perfeitamente no WINE, mas mesmo depois de instalado (e 90% dele são bibliotecas do QT4!) não tem jeito de achar onde estão os arquivos do firmware, se eu quiser fazer tudo manualmente (o que é claro que é o que quero).
    Ou seja, tenho que confiar cegamente no tal programa Windows que a D-Link inventou. Se quiser saber o quê estou prestes a fazer, ou se caso chegue no final da atualização e o WINE não dê conta de alguma função e meu roteador vire peso-de-papel, azar o meu!!!

    sandro (usuário não registrado) em 4/10/2012 às 9:37 am

    Meu Cliente Sofreu esse tipo de ataque e mudaram a senha do modem troq

    sandro (usuário não registrado) em 4/10/2012 às 9:40 am

    Meu Cliente Sofreu esse tipo de ataque e mudaram a senha do modem troquei os dns pensava que fossem os servidores de dns da GVT que estavam contaminados mas analisei melhor e comecei a desabilitar várias coisas no modem e passei a usar os DNS da gvt em todas as maquinas, usamoo DLINK 2640 B mas acho melhor comprar o tplink gosto muito dessa marca por causa do suporte, voces me recomendariam outra marca ?

Este post é antigo (2012-10-02) e foi arquivado. O envio de novos comentários a este post já expirou.