Um DDoS do outro mundo!

É verdade, agora fazem parte das notícias mais comuns, relatos de ataques de negação de serviço. Mas não se tratam de ataques quaisquer, são do tipo distribuído! De certa forma começa-se a perceber, e quando digo começa-se falo do vox populi, para que servem as redes de BoT que andam por aí a fazer nada aos computadores. E antes de avançar mais, digo já, sim, os PC da Apple e os nossos amados Linux não são imunes. Mas mais gravoso do que não serem imunes, esta reflexão é orientada a esse segmento, o segmento que mais investe na segurança e não os COTS (maçãs e janelas) que fazem de conta que o fazem (passando a redundância). Para os que se perguntam o que raio quer dizer COTS, quer dizer Commercial Off The Shelf.

Abram alas ao MIRAI Trojan, esse bandido de capa e espada que faz parecer os irmãos metralha um bando de amadores de coro. E o que quer este MIRAI? Ele não quer nada, quem quer são os cibercriminosos que estão a usar este menino para atacar os sistemas baseados Linux pelo mundo fora para fazerem o ataque de Distributed Denial of Service a uma escala nunca antes vista por ataque ...(pausa para respirar)... a passar um terabyte por segundo! Todas as arquiteturas (ou quase todas) SPARC, ARM, MIPS, SH-4, M68K e Intel x86 estão na lista das passíveis de uso, o que quer dizer que se houver por aí um frigorífico a fazer compras, sistemas de vídeo vigilância a olhar para nós ou Boxes das operadoras de TV, o mais certo é que estejam a atacar sites de alojamento na França :)

Neste momento essas cabecinhas estão a pensar " meu deus, meu deus, mas há quanto tempo isto anda por aí?" Não há muito posso adiantar, mais ou menos desde 2014 quando este "animal" foi encontrado pela primeira vez com outro nome e com características mais ou menos iguais, o Linux.BackDoor.Fgt. Agora é mais evoluído e mais agressivo e porquê? O que o torna único, ou não, entres os demais? Pasmem-se, este caro amigo do alheio elimina do SO outros e quaisquer existentes Trojans, e de forma a prevenir que o eliminem, cria um ficheiro com o nome do deus da morte japonês (Shinigami) .shinigami, monitorizando este ficheirinho de forma regular.

Para os mais entendidos na matéria estilo "Kill Bill", algumas das coisas desagradáveis que este jovem anarquista faz é conectar-se a um servidor "command-and-control" e aguarda por instruções, enviando alguma informação da máquina anfitriã, tal como a morada MAC e arquitetura do sistema. Quando recebe instruções para proceder com um ataque DDoS, este lança um ataque tipo "UDP flood"; "UDP flood sobre GRE"; "DNS flood"; "TCP flood (de variada ordem)"; "HTTP flood" a lista continua... durante uma semana de atividades e depois? Depois cala-se e fica alí em dormência... à espera de instruções.

Antes de terminar, há uma coisa impar que o distingue da sua concorrência e que deixei para o fim deste texto. O MIRAI desliga o WDT do Linux se necessitar, impossibilitando que este circuito faça reboot ao sistema quando uma falha de software ocorrer. E o que nos diz isto? Que o alvo principal não é o PC da malta, mas sim, todo e aquele sistema que é monitorizado por tudo o que não sejam pessoas e quando isto acontece, quando o sistema de controlo, de virtualização, de orquestração (etc) encontra o erro ou falha e der instruções de reboot? Nada... este não terá qualquer efeito automático pois o WatchdogTimer está eletronicamente desligado.

E em jeito de saída. Para que importa o sistema de alojamento Francês para a malta que anda nesta lida dos ataques? Não sei, mas o que sei é que isto é um tipo de espetáculo de magia em que o mágico diz para olhar para a mão pois não tem nada na manga... Ou seja, apenas uma manobra de diversão para que os espectadores não olhem para outros lados.