El FBI toma el control de la botnet rusa, pero ¿estás seguro?
El FBI ha tomado el control de una red de bots masiva que se cree que fue controlada por piratas informáticos que trabajan para el Kremlin. El Malware, conocido como VPNFilter, fue descubierto por investigadores que trabajan en CISCO Talos. VPNFilter permite a los piratas informáticos secuestrar enrutadores convirtiéndolos en una red VPN maliciosa utilizada por piratas informáticos para enmascarar su verdadera dirección IP durante los ataques secundarios.
Según un informe publicado ayer, la carga útil ha estado en libertad desde al menos 2016. En ese momento, se cree que ha infectado alrededor de 500,000 máquinas en 54 países. Según Talos, la sofisticación del sistema modular de malware probablemente significa que fue un ataque patrocinado por el estado.
Los agentes del FBI han afirmado que es probable que el actor de la amenaza haya sido Sofacy, un colectivo de piratería controlado por el Kremlin que ha sido conocido bajo una multitud de nombres en los últimos cinco años (APT28, Sednit, Fancy Bears, Pawn Storm, Grizzly Steppe, STRONTIUM, y el equipo del zar). De la declaración jurada:
"El grupo Sofacy es un grupo de ciberespionaje que se cree que se originó en Rusia. Probablemente operando desde 2007, se sabe que el grupo generalmente apunta a organizaciones gubernamentales, militares, de seguridad y otros objetivos de valor de inteligencia."
Al igual que con otros exploits basados en enrutadores, VPNFilter emplea un vector de ataque de múltiples etapas. Una vez colocado en el enrutador de la víctima, se comunica con un servidor de Comando y Control (CnC) para descargar cargas útiles adicionales.
La segunda etapa de la explotación permite a los piratas informáticos interceptar el tráfico, robar datos, realizar la recopilación de archivos y ejecutar comandos. También es posible que se hayan entregado cargas útiles adicionales infectando los dispositivos de red conectados al enrutador. Aunque según Talos:
“El tipo de dispositivos a los que apunta este actor son difíciles de defender. Con frecuencia se encuentran en el perímetro de la red, sin un sistema de protección contra intrusiones (IPS) y, por lo general, no tienen un sistema de protección basado en el host disponible, como un paquete antivirus (AV) ".
Contents
El FBI se hace cargo
Después de monitorear la situación durante meses, los investigadores de seguridad que trabajan con el FBI pudieron identificar el nombre de dominio que utilizan los hackers sofisticados. Según la declaración jurada presentada ayer, los agentes habían estado en el caso desde agosto cuando un residente de Pittsburgh les dio acceso voluntario a un enrutador infectado.
Después de que se hizo pública la noticia de la infección, el FBI actuó rápidamente para obtener una orden judicial de un juez de Pensilvania para tomar el control del toKnowAll.com dominio.
Ahora que el dominio CnC está bajo el control del FBI, se les pide a los consumidores de todo el mundo con enrutadores en riesgo que reinicien su dispositivo para que el teléfono se vuelva a casa. Esto le dará a los federales una imagen clara de exactamente cuántos dispositivos en todo el mundo se vieron afectados.
El FBI dijo que tiene la intención de hacer una lista de todas las direcciones IP infectadas para contactar a los ISP, socios privados y del sector público, para limpiar después de la infección global, antes de que se pueda configurar un nuevo servidor CnC malicioso para restablecer la botnet.
¿Confías en el FBI??
Si bien para la mayoría de las personas las noticias pueden parecer una historia de éxito para los buenos, como defensor de la privacidad digital, es difícil no escuchar sonar las alarmas. El equipo de ProPrivacy.com se siente un poco incómodo con la adquisición por parte del FBI de esta poderosa botnet. Si bien el FBI podría usar los datos recopilados para informar a las partes infectadas y solucionar la situación, ¿qué les impide usar la red de bots para desplegar sus propias cargas??
Según Vikram Thakur, director técnico de Symantec,
"La orden judicial solo le permite al FBI monitorear metadatos como la dirección IP de la víctima, no el contenido". Thakur reconoce que "no hay peligro de que el malware envíe al FBI el historial del navegador de la víctima u otros datos confidenciales".
Dado que la declaración jurada del agente especial solicitó que todo se mantuviera "sellado" durante 30 días para ayudar a la investigación, uno no puede evitar preguntarse si la retórica reciente del FBI realmente coincide con su agenda.
Restablecimiento de fábrica o un nuevo enrutador?
Por esta razón, si realmente valora la privacidad y tal vez prefiere la idea de enviar sus datos a los piratas informáticos en el Kremlin en lugar de los federales, le recomendamos hacer un poco más que simplemente encender y apagar su enrutador. Symantec ha aconsejado:
"Realizar un restablecimiento completo del dispositivo, que restaura la configuración de fábrica, debe limpiarlo y eliminar la Etapa 1. Con la mayoría de los dispositivos, esto se puede hacer presionando y manteniendo presionado un pequeño interruptor de reinicio cuando se apaga y enciende el dispositivo. Sin embargo, tenga en cuenta que todos los detalles de configuración o credenciales almacenados en el enrutador deben ser respaldados, ya que estos serán borrados por un restablecimiento completo."
Sin embargo, la única manera de estar absolutamente seguro de que su enrutador no ha sido comprometido por el gobierno de los EE. UU. Puede ser salir y comprar uno nuevo.
Aquí hay una lista de todos los enrutadores afectados y dispositivos de almacenamiento conectados a la red (NAS) QNAP:
- Linksys E1200
- Linksys E2500
- Linksys WRVS4400N
- Mikrotik RouterOS para enrutadores Cloud Core: versiones 1016, 1036 y 1072
- Netgear DGN2200
- Netgear R6400
- Netgear R7000
- Netgear R8000
- Netgear WNR1000
- Netgear WNR2000
- QNAP TS251
- QNAP TS439 Pro
- Otros dispositivos NAS QNAP que ejecutan software QTS
- TP-Link R600VPN
Las opiniones son propias del escritor..
Crédito de la imagen del título: Imagen oficial de VPNFilter de Talos
Créditos de imagen: Dzelat / Shutterstock.com, WEB-DESIGN / Shutterstock.com