Empresa chinesa admite que seus produtos de IoT foram usados em ataque DDOS

A fabricante de componentes eletrônicos chinesa Hangzhou Xiongmai Technology admitiu neste fim de semana que, sem querer,  produtos fabricados por ela desempenharam um papel importante no ciberataque massivo que interrompeu principais sites da internet dos EUA na última sexta-feira.

Alguns dos grandes nomes da internet mundial, incluindo Twitter, GitHub, Etsy,  Shopify, Spotify e os jornais The New York Times e Boston Globe, entre outros, ficaram offline durante algumas horas na manhã, por conta de um ataque DDoS (negação de domínio) contra o provedor de DNS Dyn.

Mais tarde, foi descoberto que botnets criados a partir do malware Mirai foram pelo menos parcialmente responsável pelo ataque, de acordo com a Dyn, alvo da ação.

Desenvolvido por hackers com o objetivo de invadir dispositivos de Internet das Coisas (IoT) vulneráveis e usá-los como uma botnet, o malware Mirai funciona escravizando dispositivos da IoT para formar uma rede conectada maciça. Os dispositivos são então usados ​​para inundar sites com solicitações, sobrecarregando-os, retirando-os efetivamente do ar.

De acordo com pesquisadores de segurança, o malware tirou partido de vulnerabilidades conhecidas em DVRs e câmeras conectados à internet, de fabricação da  Xiongmai, para infectar os dispositivos e usá-los para lançar enormes ataques distribuídos de negação de serviço, incluindo o que deixou indisponíveis serviços do Twitter, GitHub, Spotify e The New York Times.

Uma vez que estes dispositivos têm senhas padrão fracos e são fáceis de infectar, o Mirai conseguiu se espalhar rapidamente para, pelo menos, 500 mil aparelhos, de acordo com o fornecedor de backbone Level 3 Communications.

“O Mirai é um enorme desastre para a Internet das coisas”, disse Xiongmai em um e-mail para IDG News Service. “Precisamos admitir que nossos produtos também sofreram com invasões e uso ilegal pelos hackers”. 

A Xiongmai diz ter corrigido as falhas em seus produtos em setembro de 2015 e seus dispositivos agora pedem ao cliente para alterar a senha padrão quando usados pela primeira vez. Mas os produtos que executam versões mais antigas do firmware ainda estão vulneráveis.

Para parar o malware Mirai, a Xiongmai está aconselhando que os clientes atualizem o firmware do seu produto e mudem o nome de usuário e senhas padrão. Os clientes também podem desconetcar os produtos da internet.

“Observamos dezenas de milhões de endereços IP discretos associados com o botnet Mirai fazendo parte do ataque,” disse a Dyn  em comunicado.

Embora a Dyn tenha conseguido controlar o ataque e restaurar o acesso ao seu serviço em poucas horas, botnets Mirai poderiam facilmente atacar novamente. 

No início deste mês, o desenvolvedor desconhecido do malware Mirai liberou o seu código-fonte para a comunidade hacker. As empresas de segurança já deve ter notado hackers tentando usá-lo.

O malware Mirai também parece direcionar produtos de outros fornecedores de dispositivos de Internet de Coisas que usam senhas padrão fracas em seus dispositivos. Especialistas em segurança já notaram que o malware tenta uma lista de mais de 60 combinações de nomes de usuário e senhas.

No mês passado, um botnet Mirai também tornou brevemente indisponível o site do repórter de cibersegurança Brian Krebs, através da apresentação de 665 Gbps de tráfego, tornando-se um dos maiores ataques DDOS registrados na história.