Ataques de backdoor em computadores

O que é um backdoor?

Imagine que você é um ladrão espionando uma casa para um possível roubo. Você vê um aviso de “Protegido por...” no jardim da frente e uma câmera de campainha Ring. Sendo o astuto ladrão que você é, pula a cerca que leva aos fundos da casa. Você vê que há um backdoor, cruza os dedos e tenta a maçaneta — está destrancada. Para o observador casual, não há sinais externos de um roubo. Na verdade, não há razão para que você não pudesse roubar esta casa através do mesmo backdoor novamente, assumindo que você não destrua o lugar.

Backdoors em computadores funcionam de maneira muito semelhante.

No mundo da cibersegurança, um backdoor refere-se a qualquer método pelo qual usuários autorizados e não autorizados conseguem contornar as medidas normais de segurança e obter acesso de alto nível (também conhecido como acesso root) em um sistema de computador, rede ou aplicativo de software. Uma vez lá dentro, os cibercriminosos podem usar um backdoor para roubar dados pessoais e financeiros, instalar malware adicional e sequestrar dispositivos.

Mas backdoors não são só para os caras maus. Backdoors também podem ser instalados por fabricantes de software ou hardware como um meio deliberado de acessar sua tecnologia posteriormente. Backdoors de natureza não criminosa são úteis para ajudar clientes que estão irremediavelmente bloqueados de seus dispositivos ou para solucionar e resolver problemas de software.

Ao contrário de outras ciberameaças que se fazem conhecer ao usuário (olhando para você, ransomware), backdoors são conhecidos por serem discretos. Backdoors existem para um grupo seleto de pessoas que sabem como ganhar fácil acesso a um sistema ou aplicativo.

Como uma ameaça, as portas dos fundos não vão desaparecer tão cedo. De acordo com o relatório State of Malware dos Malwarebytes Labs, as portas dos fundos foram a quarta detecção de ameaças mais comum em 2018, tanto para consumidores quanto para empresas — aumentos respectivos de 34 e 173% em relação ao ano anterior.

Se você está preocupado com backdoors, ouviu falar deles nas notícias e quer saber do que se trata, ou tem um backdoor em seu computador e precisa se livrar dele agora mesmo, você está no lugar certo. Continue lendo e prepare-se para aprender tudo o que sempre quis saber sobre backdoors.

“Um backdoor refere-se a qualquer método pelo qual usuários autorizados e não autorizados conseguem contornar as medidas normais de segurança e obter acesso de alto nível (também conhecido como acesso root) em um sistema de computador, rede ou aplicativo de software.”

Notícias sobre backdoors

• O seu site WordPress foi atacado por um skimmer?
• APT Kimsuky continua a atacar o governo sul-coreano usando o backdoor AppleSeed.
• Ataques ao Microsoft Exchange causam pânico enquanto criminosos colecionam shells.
• Backdoors em servidores elásticos expõem dados privados.
• Backdoors são uma vulnerabilidade de segurança.
• Malware para Mac combina backdoor EmPyre e minerador XMRig.
• Aplicativo de ticker de criptomoeda para Mac instala backdoors.
• Outro dropper OSX.Dok encontrado instalando novo backdoor.

Como funcionam os backdoors?

Vamos começar descobrindo como os backdoors acabam em seu computador. Isso pode ocorrer de algumas maneiras diferentes. Ou o backdoor vem como resultado de malware ou por uma decisão intencional de fabricação (hardware ou software).

Malware de backdoor geralmente é classificado como um Trojan. Um Trojan é um programa de computador malicioso que finge ser algo que não é, com o objetivo de entregar malware, roubar dados ou abrir um backdoor em seu sistema. Assim como o cavalo de Troia da literatura grega antiga, os Trojans de computador sempre contêm uma surpresa desagradável.

Trojans são uma ferramenta incrivelmente versátil no arsenal dos cibercriminosos. Eles surgem sob diversas formas, como um anexo de e-mail ou download de arquivo, e entregam várias ameaças de malware.

Para agravar o problema, os Trojans às vezes exibem uma habilidade semelhante a um worm para se replicar e espalhar para outros sistemas sem comandos adicionais dos cibercriminosos que os criaram. Pegue, por exemplo, o Trojan bancário Emotet. O Emotet começou em 2014 como um ladrão de informações, espalhando-se por dispositivos e roubando dados financeiros sensíveis. Desde então, o Emotet evoluiu para um veículo de entrega de outras formas de malware. O Emotet ajudou a fazer do Trojan a principal detecção de ameaças de 2018, de acordo com o relatório State of Malware.

Em um exemplo de malware de backdoor, cibercriminosos esconderam malware dentro de um conversor de arquivos gratuito. Sem surpresa — ele não convertia nada. Na verdade, o download foi projetado apenas para abrir um backdoor no sistema alvo. Em outro exemplo, cibercriminosos esconderam malware de backdoor dentro de uma ferramenta usada para piratear aplicativos de software da Adobe (que isso sirva de lição sobre pirataria de software). E em um exemplo final, um aplicativo de ticker de criptomoeda aparentemente legítimo chamado CoinTicker funcionava como anunciado, exibindo informações sobre várias formas de criptomoeda e mercados, mas também abria um backdoor.

Uma vez que os cibercriminosos têm seu pé na porta, eles podem empregar o que é conhecido como rootkit. Um rootkit é um pacote de malware projetado para evitar detecção e ocultar a atividade na Internet (de você e do seu sistema operacional). Rootkits fornecem aos atacantes acesso contínuo aos sistemas infectados. Essencialmente, o rootkit é o calço que mantém o backdoor aberto.

“Backdoors foram a quarta detecção de ameaças mais comum em 2018, tanto para consumidores quanto para empresas — aumentos respectivos de 34 e 173 por cento em relação ao ano anterior.”

Backdoors embutidos ou proprietários são colocados no lugar pelos próprios fabricantes de hardware e software. Ao contrário do malware de backdoor, os backdoors embutidos não são necessariamente concebidos com algum propósito criminoso em mente. Mais frequentemente, backdoors embutidos existem como artefatos do processo de criação de software.

Os desenvolvedores de software criam essas contas de backdoor para que possam mover-se rapidamente dentro e fora dos aplicativos enquanto estão sendo codificados, testar seus aplicativos e corrigir bugs de software (ou seja, erros) sem precisar criar uma conta “real”. Esses backdoors não deveriam ser enviados com o software final lançado ao público, mas às vezes são. Não é o fim do mundo, mas sempre há a chance de um backdoor proprietário cair nas mãos de cibercriminosos.

Enquanto a maioria dos backdoors embutidos que conhecemos cai na primeira categoria (ou seja, a categoria "ops, não quisemos colocar isso lá"), membros do pacto de compartilhamento de inteligência Five Eyes (os EUA, Reino Unido, Canadá, Austrália e Nova Zelândia) pediram à Apple, Facebook e Google para instalar backdoors em sua tecnologia para ajudar na coleta de evidências durante investigações criminais. Embora as três empresas tenham recusado, todas as três fornecem dados a jusante na medida exigida por lei.

As nações Five Eyes defenderam que esses backdoors são do interesse da segurança global, mas há muito potencial para abuso. A CBS News encontrou dezenas de policiais em todo o país que usaram bancos de dados criminais atualmente disponíveis para ajudar a si mesmos e seus amigos a assediar seus ex-parceiros, perseguir mulheres e assediar jornalistas que se ofenderam com seu assédio e perseguição.

Dito isto, e se as agências governamentais decidissem que não iam aceitar um não como resposta?

Isso nos traz ao backdoor da cadeia de suprimentos. Como o nome sugere, um backdoor da cadeia de suprimentos é inserido sub-repticiamente no software ou hardware em algum ponto da cadeia de suprimentos. Isso pode acontecer à medida que matérias-primas são enviadas do fornecedor para o fabricante ou à medida que o produto acabado segue do fabricante para o consumidor.

Por exemplo, uma agência governamental pode interceptar roteadores, servidores e equipamentos de rede diversos já concluídos a caminho de um cliente, e então instalar uma porta dos fundos no firmware. E, aliás, a Agência de Segurança Nacional dos EUA (NSA) realmente fez isso, conforme revelado nas divulgações globais de vigilância de Edward Snowden em 2013.

As infiltrações na cadeia de suprimentos também podem acontecer em software. Veja o código aberto, por exemplo. Bibliotecas de códigos de código aberto são repositórios gratuitos de códigos, aplicativos e ferramentas de desenvolvimento que qualquer organização pode usar em vez de codificar tudo do zero. Parece ótimo, certo? Todo mundo trabalhando junto para o bem maior, compartilhando os frutos de seu trabalho com os outros. Na maior parte do tempo é ótimo. Qualquer contribuição ao código-fonte está sujeita a escrutínio, mas houve casos em que código malicioso chegou ao usuário final.

Com relação a isso, em julho de 2018, malware de mineração de criptomoeda foi encontrado dentro de um aplicativo (ou “snap”, como se chama no mundo do Linux) para Ubuntu e outros sistemas operacionais baseados em Linux. A Canonical, desenvolvedora do Ubuntu, admitiu: "É impossível para um repositório em larga escala aceitar software apenas após cada arquivo individual ter sido revisado em detalhes."

Backdoors e exploits são a mesma coisa?

Os Malwarebytes Labs definem explorações como "vulnerabilidades conhecidas em software que podem ser abusadas para ganhar algum nível de controle sobre os sistemas que executam o software afetado". E sabemos que uma porta dos fundos funciona como uma entrada secreta para o seu computador. Então, portas dos fundos e explorações são a mesma coisa?

Embora backdoors e exploits pareçam bastante semelhantes à primeira vista, eles não são a mesma coisa.

Exploits são vulnerabilidades de software acidentais usadas para obter acesso ao seu computador e, potencialmente, implantar algum tipo de malware. Em outras palavras, exploits são apenas bugs de software que pesquisadores ou cibercriminosos encontraram uma maneira de explorar. Backdoors, por outro lado, são deliberadamente colocados por fabricantes ou cibercriminosos para entrar e sair de um sistema à vontade.

Exploits são vulnerabilidades de software accidentais usadas para obter acesso ao seu computador e, potencialmente, implantar algum tipo de malware.... Backdoors, por outro lado, são deliberadamente colocados por fabricantes ou cibercriminosos para entrar e sair de um sistema à vontade.

O que os hackers podem fazer com um backdoor?

Hackers podem usar um backdoor para instalar todo tipo de malware em seu computador.

• Spyware é um tipo de malware que, uma vez implantado em seu sistema, coleta informações sobre você, os sites que você visita na Internet, as coisas que você baixa, os arquivos que você abre, nomes de usuário, senhas e qualquer outra coisa de valor. Uma forma menor de spyware chamada keyloggers rastreia especificamente cada tecla e clique que você faz. Empresas podem usar spyware/keyloggers como um meio legítimo e legal de monitorar funcionários no trabalho.
• Ransomware é um tipo de malware projetado para criptografar seus arquivos e bloquear seu computador. Para recuperar aquelas preciosas fotos, documentos, etc. (ou qualquer tipo de arquivo que os atacantes escolham como alvo) você precisa pagar aos atacantes por meio de alguma forma de criptomoeda, geralmente Bitcoin.
• Use seu computador em um ataque DDoS. Usando o backdoor para obter acesso de superusuário em seu sistema, cibercriminosos podem assumir o controle de seu computador remotamente, alistando-o em uma rede de computadores hackeados, também conhecida como botnet. Com essa botnet de computadores zumbis, os criminosos podem então sobrecarregar um site ou rede com tráfego da botnet em um ataque conhecido como ataque de negação de serviço distribuído (DDoS). A inundação de tráfego impede que o site ou a rede responda a solicitações legítimas, efetivamente tirando o site do ar.
• O malware de Cryptojacking é projetado para usar os recursos do seu sistema para minerar criptomoedas. Em resumo, cada vez que alguém troca criptomoeda, a transação é registrada em um livro-razão virtual criptografado conhecido como blockchain. A mineração de criptomoedas é o processo de validar essas transações online em troca de mais criptomoedas, e isso demanda um enorme poder de computação. Em vez de comprar o hardware caro necessário para a mineração de criptomoedas, os criminosos descobriram que podem simplesmente alistar computadores hackeados em uma botnet que funciona da mesma forma que fazendas caras de mineração de criptomoedas.

Qual é a história dos backdoors?

Aqui está um olhar sobre alguns dos backdoors mais famosos (ou infames), tanto reais quanto fictícios desde o início dos computadores.

Pode-se argumentar que os backdoors entraram na consciência pública no filme de ficção científica de 1983 WarGames, estrelado por Matthew Broderick (em algo que parece um ensaio para Ferris Bueller). Broderick, como o hacker adolescente David Lightman, usa um backdoor embutido para ganhar acesso a um supercomputador militar projetado para realizar simulações de guerra nuclear. Sem o conhecimento de Lightman, o computador esquizofrênico não pode distinguir realidade de simulação. E também algum gênio decidiu dar ao computador acesso a todo o arsenal nuclear dos Estados Unidos. A hilaridade ocorre quando o computador ameaça destruir o mundo inteiro.

Em 1993, a NSA desenvolveu um chip de criptografia com um backdoor embutido para uso em computadores e telefones. Supostamente, o chip manteria comunicações sensíveis seguras, permitindo que as agências de aplicação da lei e do governo decodificassem e ouvissem transmissões de voz e dados quando necessário. Backdoors de hardware têm grandes vantagens sobre o tipo de software. Principalmente, eles são mais difíceis de remover — você tem que retirar o hardware ou reconfigurar o firmware para isso. O chip, no entanto, foi anulado devido a preocupações de privacidade antes de ver qualquer tipo de adoção.

Em 2005, a Sony BMG entrou no negócio de portas dos fundos quando distribuíram milhões de CDs de música com um rootkit de proteção contra cópias prejudicial. Sem que você soubesse, enquanto curtia o mais recente Now That’s What I Call Music!, seu CD incluía um rootkit, que se instalaria automaticamente uma vez inserido no seu computador.

Projetado para monitorar seus hábitos de escuta, o rootkit da Sony BMG também impedia que você gravasse CDs e deixava uma enorme vulnerabilidade no seu computador, que os cibercriminosos poderiam aproveitar. A Sony BMG pagou milhões para resolver ações judiciais relacionadas ao rootkit e recolheu ainda mais milhões de CDs.

Em 2014, vários roteadores Netgear e Linksys foram encontrados com portas dos fundos embutidas. A SerComm, a fabricante terceirizada que montou os roteadores, negou colocar as portas dos fundos em seu hardware de propósito. Mas quando a correção que a SerComm lançou acabou ocultando a porta dos fundos em vez de consertá-la, ficou claro que a empresa não tinha boas intenções. Exatamente o que a SerComm estava tentando alcançar com a porta dos fundos permanece incerto.

Naquele mesmo ano, desenvolvedores de software trabalhando em um derivado do sistema operacional Android do Google (chamado Replicant) descobriram uma porta dos fundos em dispositivos móveis da Samsung, incluindo a série Galaxy. A porta dos fundos supostamente permitia que a Samsung ou qualquer outra pessoa que soubesse sobre ela tivesse acesso remoto a todos os arquivos armazenados nos dispositivos afetados. Em resposta à descoberta, a Samsung chamou a porta dos fundos de "recurso" que não representava "nenhum risco de segurança".

Outro famoso fabricante de telefones, a Apple, se recusa a incluir portas dos fundos em seus produtos, apesar de repetidos pedidos do FBI e do Departamento de Justiça dos EUA para fazê-lo. A pressão aumentou após os ataques terroristas de San Bernardino em 2015, quando o FBI recuperou um iPhone pertencente a um dos atiradores. Em vez de comprometer a segurança de seus dispositivos iOS, a Apple dobrou a aposta na privacidade e tornou seus iPhones e iPads ainda mais difíceis de invadir. O FBI eventualmente retirou seu pedido quando conseguiu hackear o iPhone mais antigo e menos seguro com a ajuda de um terceiro misterioso.

Plugins contendo código oculto malicioso para WordPress, Joomla, Drupal e outros sistemas de gerenciamento de conteúdo são um problema contínuo. Em 2017, pesquisadores de segurança descobriram um golpe de SEO que afetou mais de 300.000 sites WordPress. O golpe girava em torno de um plugin do WordPress chamado Simply WordPress CAPTCHA. Uma vez instalado, o Simply WordPress abria uma porta dos fundos, permitindo acesso administrativo aos sites afetados. A partir daí, o hacker responsável incorporou links ocultos para seu suspeito site de empréstimos de dia de pagamento (outros sites vinculando ao seu site é ótimo para SEO).

2017 também testemunhou o destrutivo ransomware NotPetya. O aparente paciente zero neste caso foi um Trojan de porta dos fundos disfarçado de atualização de software para um aplicativo de contabilidade ucraniano chamado MeDoc. Quando questionados, a MeDoc negou ser a fonte do NotPetya. A verdadeira pergunta é: por que alguém escolheria um aplicativo de contabilidade ucraniano chamado MeDoc tão suspeito?

Em uma notícia de 2018 que soa como o enredo de um filme B direto para vídeo, a Bloomberg Businessweek relatou que espiões chineses patrocinados pelo estado haviam infiltrado o fabricante de servidores Supermicro. Os espiões supostamente instalaram chips espiões com portas dos fundos de hardware em componentes de servidores destinados a dezenas de empresas de tecnologia americanas e organizações governamentais dos EUA — mais notavelmente Amazon, Apple e CIA.

Uma vez instalados em um data center, os chips espiões supostamente se comunicavam com servidores chineses de comando e controle (C&C), dando aos operadores chineses acesso irrestrito aos dados na rede. Amazon, Apple e vários oficiais do governo dos EUA refutaram as afirmações feitas na história da Bloomberg. A Supermicro, em sua defesa, chamou a história de "virtualmente impossível", e nenhuma outra organização de notícias a levou adiante.

Por fim, como exemplo de uma situação em que uma empresa desejaria ter uma porta dos fundos, a exchange canadense de criptomoedas QuadrigaCX fez notícia no início de 2019 quando o fundador da empresa morreu abruptamente durante férias na Índia, levando com ele a senha de tudo. A QuadrigaCX alega que todos os 190 milhões de dólares das participações em criptomoedas dos clientes estão irremediavelmente trancados em "armazenamento frio", onde ficarão por décadas e eventualmente valerão zilhões de dólares — ou nada, dependendo de como vai a criptomoeda.

Como posso me proteger contra backdoors?

Boas notícias, más notícias. A má notícia é que é difícil identificar e se proteger contra portas dos fundos embutidas. Na maioria das vezes, os fabricantes nem sabem que a porta dos fundos está lá. A boa notícia é que há coisas que você pode fazer para se proteger de outros tipos de portas dos fundos.

Altere suas senhas padrão. As pessoas trabalhadoras do departamento de TI da sua empresa nunca tiveram a intenção de que sua senha real fosse "convidado" ou "12345". Se você deixar essa senha padrão no lugar, criou sem querer uma porta dos fundos. Mude-a o quanto antes e ative a autenticação multifator (MFA) enquanto estiver nisso. Sim, acompanhar uma senha única para cada aplicação pode ser desafiador. Um relatório sobre privacidade de dados dos Malwarebytes Labs descobriu que 29% dos entrevistados usavam a mesma senha em vários apps e dispositivos. Não é ruim, mas ainda há espaço para melhorias.

Monitore a atividade da rede. Qualquer pico de dados estranho pode significar que alguém está usando uma porta dos fundos no seu sistema. Para evitar isso, use firewalls para rastrear a atividade de entrada e saída das várias aplicações instaladas no seu computador.

Escolha aplicativos e plugins com cuidado. Como já mencionamos, os cibercriminosos gostam de esconder portas dos fundos dentro de aplicativos e plugins aparentemente inofensivos. A melhor defesa aqui é garantir que os aplicativos e plugins que você escolher venham de uma fonte confiável.

Usuários de Android e Chromebook devem se ater a apps da Google Play Store, enquanto usuários de Mac e iOS devem ficar com a App Store da Apple. Dica Extra de tecnologia — quando um aplicativo recém-instalado pede permissão para acessar dados ou funções no seu dispositivo, pense duas vezes. Aplicativos suspeitos já conseguiram passar pelos processos de verificação de apps da Google e da Apple.

Voltando ao estudo sobre privacidade de dados, a maioria dos entrevistados fez bem em acompanhar as permissões de apps, mas 26% disseram: "Não sei". Tire um tempo, talvez agora mesmo, para revisar as permissões de apps nos seus dispositivos (o Malwarebytes para Android faz isso por você). Quanto aos plugins do WordPress e afins. Verifique as avaliações dos usuários e evite instalar qualquer coisa com uma pontuação menos que excelente.

Use uma boa solução de cibersegurança. Qualquer boa solução antimalware deve ser capaz de impedir que cibercriminosos implantem os Trojans e rootkits usados para abrir essas irritantes portas dos fundos. O Malwarebytes, por exemplo, tem soluções de cibersegurança para Windows, Mac e Chromebook. Sem mencionar o Malwarebytes para Android e o Malwarebytes para iOS, para você ficar protegido em todos os seus dispositivos. Usuários empresariais — cobrimos vocês também. Confira todas as soluções empresariais do Malwarebytes.

E se seu interesse por portas dos fundos vai além do que você leu aqui, não deixe de ler e assinar o blog Malwarebytes Labs. Lá você encontrará todas as últimas notícias sobre portas dos fundos e tudo o mais que importa no mundo da cibersegurança.