O 360Netlab observa que esta é a atividade mais alta em comparação com outras botnets estudadas anteriormente.
A interação entre a botnet e a “vítima” ocorreu em várias etapas (veja a figura abaixo). Primeiro, a porta TCP 5431 foi escaneada. Em seguida, a porta UDP 1900 foi verificada — uma sequência específica foi enviada a ela, aguardando uma URL vulnerável fornecida pelo dispositivo em resposta. Após receber o link vulnerável, mais quatro sessões com o dispositivo foram realizadas para determinar o ponto de entrada para a execução do código shell na memória do dispositivo. Como resultado, o dispositivo foi transformado em um bot que executava as tarefas da botnet primária.
Olhando para o futuro, devemos observar que as portas 5431 e 1900 não foram escolhidas aleatoriamente, pois o serviço UPnP geralmente é executado nessas portas. Isso significa que este serviço, habilitado por padrão na maioria dos dispositivos, apresenta uma vulnerabilidade. Analisaremos a lista de dispositivos posteriormente.
Por muito tempo, os especialistas não conseguiram detectar esse problema. O problema se resumia a fazer com que o honeypot (um recurso que atua como isca para invasores) imitasse um dispositivo no cenário descrito acima. Foi somente em outubro de 2018, após um longo processo de configuração, que conseguiram fazer isso e enganar a botnet. O projeto foi denominado BCMUPnP_Hunter.
Pesquisas posteriores mostraram que a botnet possui as seguintes características:
- O número de infecções é muito alto, com aproximadamente 100.000 endereços IP de varredura ativos em cada evento.
- O alvo da infecção são principalmente roteadores com a função BroadCom UPnP habilitada.
- O servidor do invasor envia e-mails por meio dessa botnet, que é essencialmente um servidor proxy. Atualmente, as solicitações para servidores de e-mail conhecidos, como Outlook, Hotmail, Yahoo! Mail, etc., estão sendo registradas. Os pesquisadores acreditam que o objetivo dos invasores é enviar spam.
A frequência e o número de nós de varredura podem ser vistos no gráfico abaixo.
Como pode ser observado, a atividade aumenta a cada 1 a 3 dias e, em alguns casos, chega a 100.000 nós. O número total de nós invasores é de cerca de 3,34 milhões, mas não se deve descartar que os mesmos dispositivos possam ter endereços IP diferentes.
A localização geográfica dos farejadores é mostrada no mapa.
A Índia lidera com 147.700 nós, seguida pelos EUA e China.
A lista de dispositivos vulneráveis inclui muitas marcas populares, como Cisco, Zyxel, D-Link, Eltex e TP-Link. No total, são cerca de 116 dispositivos, mas pesquisadores observam que esse número pode ser maior. A lista completa está disponível abaixo.
As consequências são óbvias: 100% dos endereços IP dos provedores são colocados na lista negra de serviços antispam.
É interessante notar que uma grande proporção de dispositivos vulneráveis são roteadores ADSL. Isso provavelmente é uma coincidência, mas não se deve esquecer que o xDSL ainda é usado em muitos países em desenvolvimento com grandes populações.
O Stingray oferece proteção contra ataques DDoS, e a nova versão conta com uma função de mini-firewall, que descreveremos em detalhes em breve em nosso blog. Para obter informações mais detalhadas sobre as vantagens da plataforma, seu uso eficaz em redes de telecomunicações, bem como a migração de outras plataformas e integração com outros sistemas, entre em contato com os especialistas da VAS Experts, desenvolvedora e fornecedora do sistema de análise de tráfego Stingray Service Gateway.
Complete list of vulnerable devices
ADB Broadband S.p.A, HomeStation ADSL Router
ADB Broadband, ADB ADSL Router
ADBB, ADB ADSL Router
ALSiTEC, Broadcom ADSL Router
ASB, ADSL Router
ASB, ChinaNet EPON Router
ASB, ChinaTelecom E8C(EPON) Gateway
Actiontec, Actiontec GT784WN
Actiontec, Verizon ADSL Router
BEC Technologies Inc., Broadcom ADSL Router
Best IT World India Pvt. Ltd., 150M Wireless-N ADSL2+ Router
Best IT World India Pvt. Ltd., iB-WRA300N
Billion Electric Co., Ltd., ADSL2+ Firewall Router
Billion Electric Co., Ltd., BiPAC 7800NXL
Billion, BiPAC 7700N
Billion, BiPAC 7700N R2
Binatone Telecommunication, Broadcom LAN Router
Broadcom, ADSL Router
Broadcom, ADSL2+ 11n WiFi CPE
Broadcom, Broadcom Router
Broadcom, Broadcom ADSL Router
Broadcom, D-Link DSL-2640B
Broadcom, D-link ADSL Router
Broadcom, DLink ADSL Router
ClearAccess, Broadcom ADSL Router
Comtrend, AR-5383n
Comtrend, Broadcom ADSL Router
Comtrend, Comtrend single-chip ADSL router
D-Link Corporation., D-Link DSL-2640B
D-Link Corporation., D-Link DSL-2641B
D-Link Corporation., D-Link DSL-2740B
D-Link Corporation., D-Link DSL-2750B
D-Link Corporation., D-LinkDSL-2640B
D-Link Corporation., D-LinkDSL-2641B
D-Link Corporation., D-LinkDSL-2741B
D-Link Corporation., DSL-2640B
D-Link, ADSL 4*FE 11n Router
D-Link, D-Link ADSL Router
D-Link, D-Link DSL-2640U
D-Link, D-Link DSL-2730B
D-Link, D-Link DSL-2730U
D-Link, D-Link DSL-2750B
D-Link, D-Link DSL-2750U
D-Link, D-Link DSL-6751
D-Link, D-Link DSL2750U
D-Link, D-Link Router
D-Link, D-link ADSL Router
D-Link, DVA-G3672B-LTT Networks ADSL Router
DARE, Dare router
DLink, D-Link DSL-2730B
DLink, D-Link VDSL Router
DLink, DLink ADSL Router
DQ Technology, Inc., ADSL2+ 11n WiFi CPE
DQ Technology, Inc., Broadcom ADSL Router
DSL, ADSL Router
DareGlobal, D-Link ADSL Router
Digicom S.p.A., ADSL Wireless Modem/Router
Digicom S.p.A., RAW300C-T03
Dlink, D-Link DSL-225
Eltex, Broadcom ADSL Router
FiberHome, Broadcom ADSL Router
GWD, ChinaTelecom E8C(EPON) Gateway
Genew, Broadcom ADSL Router
INTEX, W150D
INTEX, W300D
INTEX, Wireless N 150 ADSL2+ Modem Router
INTEX, Wireless N 300 ADSL2+ Modem Router
ITI Ltd., ITI Ltd.ADSL2Plus Modem/Router
Inteno, Broadcom ADSL Router
Intercross, Broadcom ADSL Router
IskraTEL, Broadcom ADSL Router
Kasda, Broadcom ADSL Router
Link-One, Modem Roteador Wireless N ADSL2+ 150 Mbps
Linksys, Cisco X1000
Linksys, Cisco X3500
NB, DSL-2740B
NetComm Wireless Limited, NetComm ADSL2+ Wireless Router
NetComm, NetComm ADSL2+ Wireless Router
NetComm, NetComm WiFi Data and VoIP Gateway
OPTICOM, DSLink 279
Opticom, DSLink 485
Orcon, Genius
QTECH, QTECH
Raisecom, Broadcom ADSL Router
Ramptel, 300Mbps ADSL Wireless-N Router
Router, ADSL2+ Router
SCTY, TYKH PON Router
Star-Net, Broadcom ADSL Router
Starbridge Networks, Broadcom ADSL Router
TP-LINK Technologies Co., Ltd, 300Mbps Wireless N ADSL2+ Modem Router
TP-LINK Technologies Co., Ltd, 300Mbps Wireless N USB ADSL2+ Modem Router
TP-LINK, TP-LINK Wireless ADSL2+ Modem Router
TP-LINK, TP-LINK Wireless ADSL2+ Router
Technicolor, CenturyLink TR-064 v4.0
Tenda, Tenda ADSL2+ WIFI MODEM
Tenda, Tenda ADSL2+ WIFI Router
Tenda, Tenda Gateway
Tenda/Imex, ADSL2+ WIFI-MODEM WITH 3G/4G USB PORT
Tenda/Imex, ADSL2+ WIFI-MODEM WITH EVO SUPPORT
UTStarcom Inc., UTStarcom ADSL2+ Modem Router
UTStarcom Inc., UTStarcom ADSL2+ Modem/Wireless Router
UniqueNet Solutions, WLAN N300 ADSL2+ Modem Router
ZTE, Broadcom ADSL Router
ZTE, ONU Router
ZYXEL, ZyXEL VDSL Router
Zhone, Broadcom ADSL Router
Zhone, Zhone Wireless Gateway
Zoom, Zoom Adsl Modem/Router
ZyXEL, CenturyLink UPnP v1.0
ZyXEL, P-660HN-51
ZyXEL, ZyXEL xDSL Router
huaqin, HGU210 v3 Router
iBall Baton, iBall Baton 150M Wireless-N ADSL2+ Router
iiNet Limited, BudiiLite
iiNet, BoB2
iiNet, BoBLite
