Os pesquisadores da Unit 42, unidade de pesquisa da Palo Alto Networks, identificaram um novo malware para IoT chamado Amnesia. O malware é uma variação do botnet Tsunami e mira vulnerabilidades de execução de códigos remotos presentes em dispositivos DRV (gravadores de vídeos digitais) fabricados por cerca de 70 empresas no mundo. Com base nas análises de dados, a vulnerabilidade afeta aproximadamente 227 mil dispositivos no mundo.
A razão pela qual tantos modelos de DVR foram afetados é que as companhias vendendo os aparelhos com marcas diferentes na verdade pegaram o hardware e o firmware da mesma fabricante na China – uma empresa chamada Shenzhen TVT Digital Technology. A figura abaixo mostra os países que estão mais expostos à um ataque devido ao número de dispositivos na região.
Os pesquisadores acreditam que o Amnesia é o primeiro malware de Linux a adotar técnicas de evasão de máquinas virtuais para passar despercebido pelas sandboxes de análises de malware. As técnicas de evasão de máquinas virtuais são geralmente associadas em programas de malware para Microsoft Windows e Google Android, mas o Amnesia tenta detectar se o ambiente Linux em que está rodando é uma máquina virtual baseada em VirtualBox, VMware ou QEMU. Caso o Amnesia detecte a presença de uma máquina virtual, irá tentar limpar diretórios críticos a partir do sistema de arquivos usando o comando Linux “rm –rf” para destruir qualquer evidência que possa ter sido coletada.
Um ataque bem-sucedido resulta no controle total do dispositivo. Os atacantes poderiam aproveitar potencialmente o botnet Amnesia para lançar ataques de negação de serviços (DDoS) amplos, semelhante aos ataques botnet do malware Mirai que ocorreram em 2016. Embora o Amnesia ainda não tenha sido usado para realizar ataques em grande escala, os ataques Mirai mostraram os danos potenciais que os botnets em larga escala baseadas em IoT podem causar.
