O nome Chaos foi dado pela Black Lotus, divisão de pesquisa da empresa de segurança digital Lumen. Não é só porque o malware toca o terror. A palavra “chaos” aparece em vários arquivos e funções que compõem a praga. Mas a pergunta que fica no ar é: como esse invasor consegue atacar tantos equipamentos?
O modus operandi do Chaos
Para começar, o Chaos foi desenvolvido em linguagem Go e é compatível com várias arquiteturas. x86, AMD64, Mips e ARMv8 estão entre elas. E, como você já sabe, o malware pode atacar sistemas Windows e Linux. Além disso, a praga se baseia em duas estratégias para se propagar. Uma consiste em explorar falhas não corrigidas em softwares. A outra, em acessar sistemas via SSH por meio de chaves roubadas ou descobertas via força bruta. Tem mais. Depois de contaminar um dispositivo, o Chaos tenta infectar outros equipamentos que estiverem conectados à mesma rede. Essa combinação de fatores permite que a ameaça comprometa não só PCs, mas também roteadores e servidores. A praga foi encontrada até em máquinas que rodam o FreeBSD.
Instaurando o caos
O objetivo do Chaos é montar uma botnet, isto é, uma rede de dispositivos “escravizados” para executar tarefas específicas. De acordo com a Black Lotus, o malware cria uma espécie de shell reverso para permitir que seus criadores se conectem à máquina afetada a qualquer momento para enviar ordens. A partir daí, a botnet formada pelo Chaos pode ser usada para efetuar ataques DDoS (negação de serviço) ou minerar criptomoeda. Outra ações também podem ser executadas, mas essas são as principais. Se funciona? Desde abril, quando a ação do malware foi identificada pela primeira vez, a Black Lotus detectou centenas de endereços IPs associados a dispositivos contaminados. Os pesquisadores da empresa também descobriram que a botnet tem várias organizações entre seus alvos. Ataques DDoS executados com o Chaos foram identificados contra companhias de jogos, mídia e serviços financeiros, por exemplo. Até uma corretora de criptomoedas chegou a ser atacada. A maioria dos dispositivos contaminados está baseada na Europa, explica a Black Lotus. Mas máquinas comprometidas foram identificadas em quase todo o mundo. Esse aspecto deixa claro que a atuação do Chaos não deve ser menosprezada. Não está claro se existe um grupo conhecido por trás do malware. Sabe-se, porém, que a sua infraestrutura de comando está baseada na China.
Sucessor do malware Kaiji?
O Chaos tem um poder de estrago enorme, mas não por mérito próprio. A Black Lotus encontrou indícios de que a praga utiliza recursos de outro malware, o Kaiji. Este último foi descoberto em 2020, alvejava servidores com Linux e infectava essas máquinas com força bruta em SSH. Como sempre, o melhor remédio é a prevenção. Cuidados triviais são um bom começo, como usar senhas fortes, manter o sistema operacional atualizado e instalar os firmwares mais recentes de roteadores.