FBI asegura botnet masiva que infectó alrededor de 500,000 routers

25/05/2018

Poco después de que Cisco lanzara un reporte de una campaña de hacking a gran escala que infectó alrededor de medio millón de routers y dispositivos de almacenamiento en red en todo el mundo, el gobierno de los Estados Unidos anunció la baja de un dominio clave de Internet usado en el ataque.

Ayer se reportó sobre una pieza de malware de botnet de Internet de las cosas altamente sofisticada que infectó alrededor de 500 000 de dispositivos en 54 países y que probablemente fue diseñada por un grupo patrocinado por el gobierno de Rusia en un posible intento de causar estragos en Ucrania, de acuerdo a un primer reporte publicado por la unidad de ciber inteligencia Talos de Cisco el miércoles.

Llamado VPNFilter por los investigadores de Talos, el malware es una plataforma modular multiestado dirigido a routers de oficinas pequeñas y en casa (SOHO) y dispositivos de almacenamiento de Linksys, MikroTik, NETGEAR, y TP-Link, así como a dispositivos de almacenamiento conectado en red (NAS).

Mientras tanto, se presentaron los documentos de la corte en Pittsburgh el mismo día indicando que el FBI tomó control de un dominio web clave en la comunicación con una botnet masiva global de cientos de miles de routers SOHO infectados y dispositivos NAS.

Los documentos de la corte dicen que el grupo de hacking detrás de la campaña de malware masiva es Fancy Bear, un grupo de hacking aliado con el gobierno de Rusia y también conocido como APT28, Sofacy, X-agent, Sednit, Sandworm, y Pawn Storm.

El grupo de hacking está en operación al menos desde 2007 y ha sido acreditado con una larga lista de ataques del año pasado, incluyendo el hackeo de 2016 al Comité Nacional Democrático (DNC) y a la campaña de Clinton para influir en las elecciones presidenciales de EE. UU.

“Esta operación es el primer paso en la ruptura de una botnet que proporcionan a los actores de Sofacy con un conjunto de capacidades que podría ser usada para una variedad de propósitos maliciosos, incluyendo la reunión de inteligencia, robo de información valiosa, ataques disruptivos o destructivos, y la atribución errónea de tales actividades”, John Demers, Secretario Auxiliar de Justicia de la Seguridad Nacional, dijo en un comunicado.

Entre otros, los investigadores de Talos también encontraron evidencia de que el código fuente de VPNFilter comparte código con versiones de BlackEnergy (malware responsable de los múltiples ataques a gran escala dirigidos a dispositivos en Ucrania que el gobierno de los Estados Unidos atribuye a Rusia).

VPNFilter fue diseñado de tal forma que pudiera ser usado para vigilancia secreta a sus objetivos y reunir inteligencia, interferir en las comunicaciones de Internet, monitorear sistemas de control industrial o SCADA, como los utilizados en redes eléctricas, otra infraestructura y fábricas, así como conducir operaciones de ataque cibernético destructivas.

La toma de control del dominio que es parte de la infraestructura de comando y control de VPNFilter permitió al FBI redirigir los intentos en la primera etapa del malware (en un intento por reinfectar el dispositivo) a un servidor controlado por el FBI, que capturará la dirección IP de los dispositivos infectados y pasarlo a las autoridades de todo el mundo que puedan remover el malware.

Se les aconseja a los usuarios de dispositivos SOHO y NAS que se infectaron con VPNFilter, reiniciar sus dispositivos tan pronto como sea posible, lo que elimina el malware de segunda etapa no persistente, causando que el malware de primera etapa en el dispositivo infectado solicite instrucciones.

“A pesar de que los dispositivos permanecerán vulnerables a una reinfección con el malware de segunda etapa mientras sean conectados a Internet, esto maximiza las oportunidades de identificar y remediar la infección en todo el mundo en el tiempo disponible antes de que los actores de Sofacy conozcan la vulnerabilidad de su infraestructura del comando y control”, aseguró el Departamento de Justicia.

Como VPNFilter no explota vulnerabilidades de día zero para infectar a sus víctimas y en su lugar busca dispositivos todavía expuestos a vulnerabilidades conocidas o que tengan credenciales por defecto, se recomienda a los usuarios cambiar las contraseñas por defecto de sus dispositivos para prevenirse contra el malware.

Además, siempre poner los routers detrás de un firewall, apagar la administración remota hasta que sea realmente necesario.

Si el router es por defecto vulnerable y no puede ser actualizado, es mejor comprar uno nuevo. Se necesita estar más informado sobre la seguridad de los dispositivos inteligentes del Internet de las Cosas.

Articulos relacionados: