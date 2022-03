Pode parecer surpreendente (e é) mas podemos ter nas nossas próprias casas componentes que estão a ser usados nas redes "Botnet" que agentes maliciosos: hackers ou Estados, usam para invadir e derrubar redes informáticas, disseminar spam e phishing ou serem usados em guerras cibernéticas como aquelas que a Rússia lançou contra a Estónia em 2007 e contra a Ucrânia em 2022. E que componentes podem ser estes? Os nossos routers.



Os equipamentos tornam-se em "zombies" nestas botnets quando ficam infectados por malware. Isto pode acontecer quando alguém - sem saber - clica num link numa mensagem ou quando visita um site que aloja malware.



Existem vários tipos de botnets: desde botnets que acedem a webcams, outras que correm em máquinas Linux, outras (mais comuns) correm em máquinas Windows. São estas máquinas que são os principais alvos assim como os routers domésticos.



Os routers são, basicamente, computadores correndo uma versão simplificada de Linux. Estes são um dos alvos favoritos destas redes. Quase sempre os utilizadores não se apercebem de que estes equipamentos estão infectados e, frequentemente, os agentes maliciosos não atacam a rede local onde se alojaram para não chamarem a atenção e para conseguirem operar de forma discreta. Mas o processador, o endereço de rede e o seu armazenamento contribuem ativamente para a botnet e estão constantemente a receber comandos do servidor de Comando e Controlo (C&C).



Há tantos tipos de botnets quantas botnets existem. Em alguns casos o zombie limita-se a recolher dados como passwords e a criar backdoors que depois são exfiltradas por um operador humano. Outras botnets servem para minerar criptomoedas, participarem em operações de "distributed denial of service" (DDoS) ou servirem para ataques de força bruta para quebra de passwords. Em algumas circunstâncias com estas redes foram registados tráfegos de dados de centenas de Gbps por segundo contra determinados alvos. Outro uso comum das botnets é o envio de Spam sendo esta, provavelmente, a mais rentável de todas as actividades.



Boa parte destas redes assentam em routers comprometidos e, em 2018, foi descoberta uma botnet com mais de cem mil routers com firmware desatualizado que era usada para envio de spam. Mas é preciso ter em consideração que estas redes além de spam estão a actualmente a evoluir para redes de phishing (94% de todo o malware é distribuído desta forma) que têm como último objectivo a instalação de ranswomware que depois alimenta os operadores das botnets. Apesar desta evolução para o Phishing o volume total de spam enviado por estas redes continua a ser impressionante: estima-se que todos os dias sejam enviados mais de 320 mil milhões de mensagens de spam (28.5% de todo o tráfego de mail). E de todo este imenso volume de spam, acredita-se que 97% seja enviado apenas por duas botnets: a Necurs (que distribui sobretudo o malware Locky) e a Gamut (activa desde 2013 e que usa a porta 25 para comunicar)



A Necurs é particularmente conhecida no meio por colaborar com outros gangs de cibercrime alugando a botnet e usando-a para extorquir utilizadores e organizações a soldo de terceiros. Existem serviços especializados neste tipo de aluguer (BaaS: Botnet as a Service) como a "Lizard Squad" que, recentemente, fez BaaS de uma botnet assente em routers zombie e comercializando um serviço de DDoS por um preço tão baixo como um pouco menos de 5 dólares por mês.



Como podemos proteger os nossos routers domésticos?

1. O problema tem diminuído muito de incidência com a aparição de novas gerações de routers por isso é importante garantir que temos nas nossas casas os últimos modelos de routers do nosso operador ou que adquirimos um bom router no mercado.

2. Manter o firmware do router sempre actualizado.

3. Fazer um restart regular ao router (uma vez por semana: pelo menos). Não que isso, de per si, apague o malware, mas quando isso acontece o malware envia um sinal de controlo para os servidores de comando e controlo (C&C) e isso pode ser localizado através de um sniffer de rede como o Wireshark.

4. Mude a password default que vem com o seu router assim com todos os equipamentos que ligar na sua rede doméstica.

5. Por norma não esteja logado em contas de administração nos seus computadores.

6. Tenha muito cuidado quando carrega programas da Internet.

7. Instale um antivirus comercial nos seus computadores e mantenha-os com todas as últimas actualizações de sistema operativo.



Um texto do CpC: Cidadãos pela Cibersegurança

Rui Martins, fundador da rede de Vizinhos em Lisboa, membro do Cidadãos pela Cibersegurança e IT Operations Leader em empresa nacional