El FBI ha logrado tomar el control de un servidor clave en una botnet creada por un grupo de hackers rusos llamado Fancy Bear. El malware responsable de la infección es llamado VPNFilter y afecta al menos 500.000 routers y NAS en todo el mundo.

Los expertos en seguridad de Cisco y de Symantec fueron quienes detectaron esa amenaza global que según sus datos está presente en 54 países. Dispositivos de Linksys, MikroTik, NetGear y TP-Link están afectados por el problema, pero el golpe de efecto del FBI le ha dado la vuelta a la situación.

VPNFilter es la base de una de las mayores redes de dispositivos infectados descubiertas hasta la fecha por Talos, la división de inteligencia de ciber-seguridad de Cisco. La gran mayoría de equipos están conectados directamente a Internet (sin mecanismos de seguridad intermedios), y coordinados a través de una red TOR privada (red anónima de dispositivos).

En Cisco explican que los atacantes podrían mediante esta botnet compartir datos entre los dispositivos y coordinar un ataque masivo utilizando los equipos como nodos. Al incluir un ‘kill switch’ (interruptor de apagado), también podría destruir los equipos dejándolos inoperativos y eliminar el acceso a Internet para cientos de miles de usuarios, además de inspeccionar el tráfico y robar datos confidenciales.

Ucrania ha sufrido el mayor pico de infecciones, con un elevado incremento durante la primera quincena de mayo. El malware, denominado ‘VPNFilter’ al instalarse en dicho directorio, tiene similitudes de código con BlackEnergy, un malware que ya fue responsable de múltiples ataques a gran escala a dispositivos en Ucrania. Este mismo grupo de hackers logró interferir en la campaña electoral de Hillary Clinton en 2016.

La detección del malware en un router doméstico en Pittsburgh permitió al FBI analizarlo y tratar de buscar puntos débiles y encontraron lo siguiente:  Si la víctima reiniciaba el router infectado, los plugins maliciosos desaparecían aunque el código base del malware seguía presente.

El análisis de ese código permitió ver su funcionamiento: En primer lugar comprobaba imágenes en Photobucket que ocultaban información en sus metadatos, y si no las encontraba se conectaba a un punto de control auxiliar en la URL ToKnowAll[.]com.

Se pidió una orden judicial para tomar control de dicho dominio, lo que permitió al FBI meterse de lleno en las operaciones de esta botnet. Con esa toma de control pudieron evitar buena parte de la amenaza: “el malware no es persistente y no sobrevivirá si se reinicia el router”, explicaban los expertos de Symantec.

Gracias al acceso a ese dominio los expertos del FBI están recolectando las direcciones IP de todos los routers afectados que están “llamando a casa”, algo que permitirá erradicar el problema. En Symantec destacaban que aunque algunos proveedores de internet pueden reiniciar los routers de forma remota, también están enviando mensajes a los afectados para reiniciar sus dispositivos.

La orden judicial solo permite al FBI recolectar metadatos como la dirección IP de la víctima, pero no el contenido de las comunicaciones que se realizan ni se realizaron en el pasado. “No hay datos que se filtren desde esos routers al dominio que ahora está controlado por la agencia, explicaba Vikram Thakur, director técnico de Symantec.

Fuente:  Xataka

Descubre la mejor protección para tu infraestructura

 

Coss Consulting S.A de C.V, Especialistas en Seguridad Informática.

Distrubuidor Preferred Partner de Barracuda Networks en México.