Botnet LizardStresser lança ataque DDoS de 400 Gbps contra o Brasil

Omovimento da Internet das Coisas (IoT) deu origem a uma nova era de dispositivos conectados e vulneráveis, que são montados para permitir ataques maciços de negação de serviço distribuídos (DDoS). A empresa de segurança Arbor Networks relatou que uma botnet composta por dispositivos IoT estão atacando empresas no Brasil (como instituições financeiras, provedores de Internet e do órgãos governamentais), gerando um tráfego de até 400 Gpbs durante os ataques.

A botnet utliza o código do LizardStresser, que é projetado para rodar em Linux. O código foi originalmente desenvolvido pelo grupo de hackers Lizard Squad, que no passou teve o crédito pelos ataques contra a Lenovo, Xbox Live da Microsoft e PlayStation Network da Sony.

O LizardStresser é composto por duas partes: um elemento de central de comando e controle (C2) no lado do servidor e no lado do cliente, que é o dispositivo comprometido, muitas vezes chamado de zumbi. Nem sempre há uma correlação direta entre o número de C2 e zumbis. No caso da botnet de IoT atacando o Brasil, Kirk Soluk, gerente de resposta incidentes de segurança da Arbor Networks, disse que não foram estimados a quantidade em milhares dos dispositivos IoT infectados por um punhado de C2s. Também não está totalmente claro se todos os servidores de C2 utilizados pelo LizardStresser estão sob o controle de um único grupo ou vários.

“Não é uma relação de um grupo para cada C2 ou de todos os C2 para um grupo, mas sim um meio termo”, disse Soluk ao site eWEEK. “Dado que o código fonte do LizardStresser foi divulgado no início de 2015, é mais provável que seja um pequeno número de C2 por grupo”.

Para os 400Gbps gerados pelo dispositivos IoT que estão atacando o Brasil, a análise da Arbor Networks revelou que os atacantes foram capazes de se aproveitar das portas de Telnet em dispositivos vulneráveis. O uso do Telnet tem se tornado obsoleto e desativado o seu uso para o acesso remoto como uma boa prática por profissionais de segurança de TI, pois o seu tráfego não é criptografado. Soluk nota que não seria correto afirmar que o Telnet é deixado aberto em todos os dispositivos IoT.

“Uma vez que os dispositivos IoT são em grande parte autônomos ou não interagem diretamente (como um PC), há muitos casos em que é necessário existir algum método para gerenciar remotamento o dispositivo”, disse ele. “O Telnet é um serviço de gerenciamento remoto muito comum incorporado na maioria das pilhas IP, tornando-se uma opção conveniente e de baixo custo para o gerenciamento remoto”.

No entanto, Soluk disse que, neste caso, foi o fato do Telnet ter sido deixado aberto junto com usuário e senha padrão, que permitiu que os dispositivos se “juntassem” trivialmente à botnet.

De uma perspectiva de tamanho, já que os dispositivos IoT tendem a ter capacidades de computação e largura de banda menores, mas foram capazes de gerar um ataque de 400 Gbps, podemos afirmar que um número muito maior de dispositivos comprometidos seja necessário para um ataque como esse tome tais proporções.

Como exemplo, Soluk disse que um Raspberry Pi B+, um dispositivo comum e pequeno, suporta no máximo 10/100 Mpbs. No entanto, 100 Mpbs é um máxio teórico e não chega nessa velocidade na prática, acrescentou. Assumindo uma largura de banda máxima de 90Mbps, um invador precisaria comprometer aproximadamente 4.500 Raspberry Pi para gerar uma banda de 400Gbps em um ataque DDoS.

Claro que o upload de conexões residenciais não atingem 90Mpbs”, disse Soluk. “Em vez disso, vamos supor que seja mais provável um uplink de 30Mpbs, o que triplicaria para 13.500 o número de Raspberry Pi necessários”.

A largura de banda disponível em um ataque DDoS depende de uma série de fatores, disse ele, e é mais provável que a largura da banda de rede na qual o dispositivo está conectado seja mais importante do que o próprio dispositivo.

Da perpectiva de defesa, há alguns passos simples que podem ajudar os usuários finais a impedir que seus dispositivos IoT se tornem zumbis da botnet do LizardStresser.

Alterar senhas padrão e posisicionando os dispositivos atrás de um firewall para restringir o acesso teria ajudado neste caso”, disse Soluk.

Fonte