Rombertik: O malware que ao ser detectado destrói todos os dados do seu HD

Se você faz questão de estar por dentro das novidades que envolvem segurança da informação, confiabilidade de dados e serviços, com certeza não fica mais tão surpreso com ataques direcionados ao hardware. Cada ano que passa o mito que a parte física de um dispositivo não pode ser afetada vem caindo por terra de forma avassaladora. Se fizermos um leve flashback e voltarmos ao ano de 1998, a mente doentia de Chen Ing-Hau já elucidava os problemas que teríamos no futuro com o hardware. Hau criou uma das maiores pragas de toda a história, o Win32/CIH, mais conhecido como Chernobyl.

O vírus recebeu este nome justamente pelo seu poder de destruição, que afetava a BIOS e o setor MBR do disco rígido. Segundo o criador da ameaça, o Chernobly foi desenvolvido graças a uma revolta que ele tinha contra as empresas de antívírus. Pouco tempo depois foi preso, pediu desculpas e disse que não tinha a intenção que a ameaça se espalhasse pelo mundo.

O Chernobly foi marcante pelo novo método de ataque que ele trazia e porque Peter Szor eEugene Kaspersy, dois especialistas super respeitados, atribuíram o título de “o primeiro vírus a danificar o hardware do sistema".

Depois do Chernobly uma avalanche de pragas voltadas para contaminar o hardware foram sendo lançadas, algumas tendo como foco placas PCI e vídeo, mas em sua grande maioria o foco das pragas continuava sendo a BIOS. E toda a forma de infecção era feita via firmware. Além, é claro, dos softwares, que são o carro-chefe das ameaças.

Além de termos que contar com o azar de grupos hackers ativistas ou não estarem disseminando ameaças em grande escala pela internet, também temos que aturar as agências governamentais fazendo esse servicinho sujo envolvendo o hardware, como foi o caso que ocorreu em fevereiro, que a Kaspersky Labs disse que a NSA plantou spywares em HDs de diversos fabricantes, como Western Digital, Seagate, IBM, Toshiba, Samsung e Maxtor. A ameaça foi instalada no firmware do disco rígido, o que impede que uma simples formatação resolva o problema. Durante esse episódio, Costin Raiu, pesquisador-chefe do Kaspersky, tocou novamente no ponto do hardware envolvido com os problemas de segurança. Raiu disse que o "hardware estará cada vez mais ligado com a invasão de computadores".

E agora poucos meses depois desse acontecimento envolvendo os HDs temos um novo problema envolvendo os discos rígidos. Mais uma vez tendo o hardware como foco.

Dessa vez os pesquisadores do Talos Group, que é uma divisão de segurança da Cisco System, descobriu um novo malware, que é uma espécie de vírus suicida que se propaga através do velho método de anexos de e-mails infectados com o propósito de roubar as credenciais de login e senha dos usuários. A infecção ocorre no navegador da vítima, interceptando informações antes que elas sejam encriptadas e enviadas via HTTPS. Até aí tudo dento dos conformes, já que existem diversas outras ameaças que têm como objetivo atacar as credenciais de acesso. A particularidade dessa nova ameaça, intitulada Rombertik, se destaca quando ocorre ações de detecção contra o malware.

Ben Baker e Alex Chiu, que fazem parte da equipe que revelou o Rombertik, disseram que através de técnicas de engenharia reversa foi descoberto que a ameaça possui multíplos níveis de funções para impedir a detecção e, caso o software encontre indícios que está sendo estudada a sua remoção, ele se autodestrói, levando todos os dados do disco da vítima.

"Se o Rombertik perceber que está sendo analisado ou depurado ele destroi o setor de inicialização do disco rígido (MBR)", disse Ben Baker

Quando o Rombertik percebe que está sendo monitorado ele realiza uma série de medidas para sobreescrever o MBR do disco e, após realizar esse procedimento, a máquina é reiniciada e fica presa em um loop infinito, impedindo a inicialização corretamente. Durante as tentativas para iniciar a máquina o que o usuário irá encontrar é uma mensagem que diz "Carbon crack attempt, failed”.

E como se não bastasse infectar o MBR do disco, o Rombertik afeta diretamente as partições, substituindo seus dados por informações nulas, tornando praticamente impossível a recuperação dos dados.

O malware usa de diversos artifícios para não ser detectado. Um dos métodos que os pesquisadores observaram é que o programa repete 960 milhões de vezes a escrita de um byte de dados aleatórios, causando um grande atraso para que os softwares de detecção identifiquem a ameaça.

O Rombertik se propaga através de spam e mensagens de phishing enviadas às vítimas. A ameaça é um malware projetado para agir diretamente no navegador do usuário e ler suas credenciais e outras informações sensíveis, ocasionando uma extração posterior desses dados, semelhante ao Dyre. No entanto, ao contrário do Dyre, que foi projetado para direcionar tráfego bancário, o Rombertik coleta informações de todos os sites de forma indiscriminada", explicou Ben Baker e Alex Chiu

Conversei com André Munhoz Pinto, gerente de e-commerce da Avast no Brasil e pedi para que ele traçasse um panorama sobre essas ameaças via hardware que estão ficando cada vez mais frequentes.

O André me respondeu que é díficil traçar este retrospecto pois cada ameaça traz algo novo e lições diferentes. Mas a medida que a tecnologia se desenvolve mais e mais ideias surgirão. Ele acredita que ataques sobre o hardware, no momento estão com uma função de teste muito maior do que uma relação de ataque. Isso porque estamos na era da Internet das Coisas, ou seja, qualquer equipamento físico hoje em dia é um hardware e a têndencia é isso aumentar. Carro, eletrodomésticos, casa e outros itens já podem ser controlados via internet e os hackers estão de olho nesse futuro que, na verdade, talvez já seja nosso presente.

Concordo plenamente com o ponto de vista destacado por André: os ataques via hardware vem se desenvolvendo ao decorrer dos anos, e com a tendência de diversos novos dispositivos conectados a web graças à Internet das Coisas, o foco das invasões está se direcionando para a parte física.

Os pesquisadores da Cisco destacaram que para se proteger do Rombertik as velhas regras de segurança continuam valendo muito:

• Utilize um Antivirus atualizado
• Não clique em anexos desconhecidos
• Siga as políticas de segurança do e-mail

Tio Ben, do Homem Aranha, já dizia: "Com grandes poderes vem grandes responsabilidades." Temos o poder de lidar com uma imensa variedade de dispositivos diferentes, mas para isso temos a obrigação e responsabilidade de criarmos uma linha defensiva contra essas pragas. Infelizmente, muitos não estão interessados nisso.


Por: William R. Plaza
Fonte: Cisco e Hardware.

Edição: Diogenes Bandeira - Consultor de Segurança Eletrônica.