Governo alerta para malware Shikitega que ataca dispositivos IoT em Linux

O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) recebeu informações sobre a disseminação de um novo malware denominado Shikitega, direcionado a endpoints e dispositivos IoT que executam sistemas operacionais Linux.

O Shikitega é entregue em uma cadeia de infecção de vários estágios, onde cada módulo responde a uma parte da carga útil que baixa e executa a próxima etapa, evitando assim, sua detecção. O Shikitega utiliza servidores de comando e controle (C2) hospedados em serviços de nuvem legítimos e explora duas vulnerabilidades Linux de elevação de privilégios conhecidas:

CVE-2021-4034 – https://nvd.nist.gov/vuln/detail/cve-2021-4034; e

CVE-2021-3493 – https://nvd.nist.gov/vuln/detail/CVE-2021-3493.

Às instituições da Administração Pública Federal (APF) e as demais entidades/instituições, o CTIR Gov pede que identifiquem software ou firmware vulneráveis sob sua responsabilidade e apliquem com urgência as devidas atualizações.

Caso suspeitem que algum dispositivo esteja infectado,o centro sugere uma verificação, usando um aplicativo anti-malware atualizado. Para os casos de suspeita de infecção em um dispositivo IoT, o firmware necessita ser extraído primeiro, antes que uma verificação com anti-malware seja executada no conteúdo do sistema de arquivos extraído.

O CTIR Gov recomenda ainda: Manter os software e firmware atualizados; utilizar Antivírus e/ou Endpoint Detection Response (EDR) em todos os endpoints; e implementar rotinas de backup de arquivos.