Na sexta-feira, um grupo de hackers atacou a infraestrutura de computadores na Rússia e no Irã, provedores de internet , centros de dados , e por sua vez alguns sites. Além de desabilitar o equipamento, os hackers deixaram uma nota nas máquinas afetadas, segundo capturas de tela e fotografias compartilhado nas redes sociais : “Não brinque com nossas eleições”, junto com uma imagem de uma bandeira americana.
Agora, os hackers por trás do ataque disseram por que o fizeram.
“Estávamos cansados de ataques de hackers apoiados pelo governo nos Estados Unidos e em outros países”, disse alguém no controle de um endereço de e-mail deixado na nota ao Motherboard no sábado.
Em um postagem no blog sexta-feira , a empresa de segurança cibernética Kaspersky disse que o ataque estava explorando uma vulnerabilidade em um software chamado Cisco Smart Install Client. Usando o mecanismo de pesquisa de computador Shodan, Talos (que faz parte da Cisco) disse em seu próprio blog na quinta-feira, encontrou 168.000 sistemas potencialmente expostos pelo software. Talos também escreveu que observou hackers explorando a vulnerabilidade para atingir infraestrutura crítica e que alguns dos ataques são acreditados como sendo de atores do estado-nação. De fato, Talos vinculou a atividade recente para um alerta de março do US Computer Emergency Readiness Team (CERT), que disse que hackers do governo russo estavam mirando energia e outros setores críticos de infraestrutura.
Presumivelmente, era isso que os hackers vigilantes desta semana estavam respondendo.
“Nós simplesmente queríamos enviar uma mensagem”, disseram eles ao Motherboard.
Uma captura de tela da mensagem que os hackers deixaram nas máquinas afetadas. Imagem: Twitter
O ataque em si parece ser relativamente pouco sofisticado. Hackers menos qualificados criaram anteriormente ferramentas que podem servir a um propósito semelhante e disperso. Em janeiro, um pesquisador de segurança pseudônimo lançado AutoSploit , uma ferramenta que escaneava o mecanismo de busca de computadores Shodan em busca de máquinas vulneráveis e, em seguida, disparava explorações da ferramenta de teste de penetração Metasploit. Este novo ataque parece ser semelhante em abordagem.
Independentemente disso, este ataque teve um impacto. Em seu blog, a Kaspersky disse que o ataque tinha como alvo o segmento de língua russa da internet. E em um declaração veiculada pela agência de notícias oficial do Irã IRNA , o Ministério de Tecnologia da Informação e Comunicação disse que “o ataque aparentemente afetou 200.000 switches de roteador em todo o mundo em um ataque generalizado, incluindo 3.500 switches em nosso país”. Reuters informou que o ministro de TI do Irã, Mohammad Javad Azari-Jahromi, disse que o ataque afetou principalmente a Europa, a Índia e os EUA. Em um tweet ele adicionou que 95 por cento dos roteadores retomaram o funcionamento normal.
Tem uma dica? Você pode entrar em contato com este repórter com segurança no Signal no +44 20 8133 5190, no chat OTR em jfcox@jabber.ccc.de ou no e-mail joseph.cox@MediaMente.com.
Os hackers disseram que escanearam muitos países em busca de sistemas vulneráveis, incluindo Reino Unido, EUA e Canadá, mas apenas “atacaram” a Rússia e o Irã, talvez referindo-se à postagem de uma bandeira americana e sua mensagem. Eles alegaram ter corrigido o problema da Cisco em dispositivos expostos nos EUA e no Reino Unido “para evitar novos ataques”. Em sua postagem no blog, Talos sugeriu que os administradores de sistema pudessem executar um comando específico no dispositivo afetado para mitigar a exposição. Isso é o que os hackers alegaram que fizeram em máquinas no Reino Unido e nos EUA.
“Como resultado de nossos esforços, quase não há dispositivos vulneráveis em muitos dos principais países”, afirmaram em um e-mail.
No entanto, no momento em que escrevo, o número de dispositivos expostos diminuiu apenas marginalmente, de 168.000 no momento da verificação de Talos, para pouco mais de 166.000 no sábado, de acordo com os resultados da pesquisa no Shodan. 46.500 desses resultados estão nos EUA. A placa-mãe atualizará esta peça se mais evidências estiverem disponíveis para a suposta correção dos hackers.
Atualização: Este artigo foi atualizado para incluir mais informações da conta do Twitter do ministro de TI do Irã, Mohammad Javad Azari-Jahromi.