Imagen estilizada de la bandera estadounidense compuesta por unos y ceros.

El FBI accedió de forma remota y desinfectó dispositivos con sede en EE. UU. que ejecutan una nueva y poderosa variedad de malware de botnet propiedad del estado ruso, dijeron el miércoles las autoridades federales. Estas autoridades agregaron que el Kremlin usó el malware para realizar hacks en secreto contra sus oponentes.

Los dispositivos infectados eran principalmente dispositivos de firewall WatchGuard y, en menor medida, dispositivos de red Asus. Ambos fabricantes emitieron recientemente avisos que contienen recomendaciones sobre cómo endurecer o desinfectar los dispositivos infectados con la botnet conocida como Cyclops Blink. Es el último malware de botnet de la empresa rusa Sandworm, uno de los equipos de piratería patrocinados por el estado más elitistas y destructivos del mundo.

recuperando el control

Cyclops Blink salió a la luz en febrero en un aviso emitido conjuntamente por el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Agencia de Seguridad Nacional (NSA) y la Oficina Federal de Investigaciones (FBI). ). . . WatchGuard dijo en ese momento que el malware infectaba alrededor del 1 por ciento de los dispositivos de red que fabricaba.

Cyclops Blink reemplazó a otro malware desarrollado por Sandworm llamado VPNFilter, que los investigadores descubrieron en 2018 e infectó 500 000 enrutadores de EE. UU. de Linksys, MikroTik, Netgear, QNAP y TP-Link. El FBI incautó rápidamente un servidor que Sandworm usó para infectar dispositivos con VPNFilter. Una vez que se completó, la oficina instruyó al público a reiniciar sus dispositivos. Con eso, la botnet fue desmantelada.

Cyclops Blink fue el intento de Sandworm de recuperar permanentemente el control de los dispositivos de red, y el malware casi funcionó. En una declaración jurada de la corte publicada el miércoles, los fiscales federales escribieron:

Al igual que con VPNFilter, los actores de Sandworm han implementado Cyclops Blink en dispositivos de red en todo el mundo de manera aparentemente indiscriminada; Es decir, la infección de un dispositivo en particular por parte de los actores de Sandworm parece haber sido causada por la vulnerabilidad de ese dispositivo al malware, en lugar de un esfuerzo concertado para atacar ese dispositivo en particular o su propietario por otras razones. Los actores de Sandworm han logrado esto mediante la explotación de vulnerabilidades de software en varios dispositivos de red, principalmente dispositivos de firewall WatchGuard. Los dispositivos WatchGuard en particular son vulnerables a un exploit que permite el acceso remoto no autorizado a los paneles de administración de estos dispositivos.

La botnet continuó existiendo después del 23 de febrero. En ese momento, WatchGuard, en coordinación con el FBI, emitió instrucciones para restaurar los dispositivos desinfectados a un estado limpio y configurar los dispositivos para evitar el acceso total a las interfaces de administración. WatchGuard también corrigió una vulnerabilidad rastreada como CVE-2022-23176 que abría la brecha de autenticación cuando los servidores estaban configurados para permitir el acceso de administración sin restricciones desde direcciones IP externas. A pesar del CVE emitido este año, WatchGuard dijo el miércoles que la vulnerabilidad se reparó por completo en mayo de 2021.

Pendientes resbaladizas y la ley de las consecuencias no deseadas

Sin embargo, según el aviso de febrero, la cantidad de dispositivos en la botnet Cyclops Blink solo disminuyó en un 39 por ciento. En respuesta, el FBI fue un paso más allá que en 2018 con VPNFilter. En una operación de eliminación sigilosa, disfrazada por una orden federal, los agentes accedieron de forma remota a dispositivos WatchGuard infectados conectados a 13 direcciones IP en todo Estados Unidos. A partir de ahí los agentes:

  • Se ha confirmado la presencia del malware Cyclops Blink
  • Registra el número de serie que Cyclops Blink usa para rastrear sus bots
  • Copié una lista de otros dispositivos también infectados por Cyclops Blink
  • maquinas desinfectadas
  • Puertos de administración cerrados frente a Internet para evitar que Sandworm tenga acceso remoto

No es la primera vez que el FBI accede de forma remota a un dispositivo infectado para eliminar una amenaza, pero es un ejemplo temprano. Muchos expertos en seguridad han expresado su preocupación de que tales pasos podrían causar daño si tales acciones interrumpen inadvertidamente un proceso de misión crítica. Los defensores de la privacidad también han denunciado que tales medidas ponen en peligro la información de las personas.

Jake Williams, ex hacker de la NSA y ahora director ejecutivo de Cyber ​​Threat Intelligence en la firma de seguridad SCYTHE, expresó las mismas preocupaciones sobre este caso. Sin embargo, dijo que los pasos específicos que tomó el FBI lo hicieron sentir más cómodo. En un mensaje escribió:

Creo que siempre es complicado para LE. [law enforcement] cambiando cualquier cosa en un servidor que no controlan. En este caso, sin embargo, no pensé que hubiera un riesgo significativo, por lo que los beneficios claramente superaron los riesgos. Muchos citarán argumentos sesgados como razones por las que esta acción en particular fue inapropiada, pero creo que eso está mal. De particular interés es el hecho de que el FBI coordinó con empresas privadas (WatchGuard) en esta acción.

La declaración jurada del FBI dice que los agentes entrevistaron en septiembre pasado a funcionarios de una empresa que estaba ejecutando un dispositivo infectado en su red. La compañía permitió que los agentes tomaran una imagen forense de la máquina y «observaran prospectivamente el tráfico de red asociado con el dispositivo de firewall».

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

17 + siete =