Agencias estadounidenses y británicas advierten sobre la nueva botnet rusa construida a partir de dispositivos de firewall pirateados

Las agencias de inteligencia en el Reino Unido y los Estados Unidos revelaron detalles de un nuevo malware de botnet llamado Cyclops Blink que se atribuyó al grupo de piratería Sandworm respaldado por Rusia y se implementó en ataques que se remontan a 2019.

“Cyclops Blink parece ser un marco de reemplazo para el malware VPNFilter expuesto en 2018, que explotó dispositivos de red, principalmente enrutadores de oficina / oficina en el hogar (SOHO) pequeños y dispositivos de almacenamiento conectado a la red (NAS)”, dijeron las agencias. “Al igual que VPNFilter, la implementación de Cyclops Blink también parece indiscriminada y generalizada”.

El aviso conjunto del gobierno proviene del Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC), la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA), la Agencia de Seguridad Nacional (NSA) y la Oficina Federal de Investigaciones (FBI) en los Estados Unidos.

Gusano de arena, también conocido como Oso Vudú, es el nombre asignado a un adversario altamente avanzado que opera desde Rusia y que se sabe que está activo desde al menos 2008. El grupo de piratería ha mostrado un enfoque particular en atacar entidades en Ucrania y se alega que está detrás de los ataques del sector energético ucraniano que causaron cortes de energía generalizados a fines de 2015.

El actor de la amenaza, en octubre de 2020, estaba formalmente vinculado a la unidad militar 74455 del Centro Principal de Tecnologías Especiales (GTsST) de la Dirección Principal de Inteligencia del Estado Mayor (GRU) de Rusia.

VPNFilter fue documentado por primera vez por Cisco Talos en mayo de 2018, describiéndolo como un “sofisticado sistema de malware modular” que comparte superposiciones con el malware BlackEnergy del gusano de arena y presenta capacidades para respaldar la recopilación de inteligencia y las operaciones destructivas de ataque cibernético.

Se descubrió que el malware de botnet IoT había comprometido más de 500,000 enrutadores en al menos 54 países, apuntando a dispositivos de Linksys, MikroTik, NETGEAR y TP-Link, ASUS, D-Link, Huawei, Ubiquiti, QNAP, UPVEL y ZTE.

Ese mismo mes, el gobierno de los Estados Unidos anunció la incautación y eliminación de un dominio clave de Internet utilizado para los ataques, instando a los propietarios de dispositivos SOHO y NAS que pueden estar infectados a reiniciar sus dispositivos para interrumpir temporalmente el malware.

A partir de enero de 2021, un análisis de Trend Micro identificó “infecciones residuales” que aún permanecían en miles de redes años después de hundir VPNFilter, incluso cuando el actor de Sandworm optó simultáneamente por reorganizar el malware en respuesta a las revelaciones públicas.

Se cree que Cyclops Blink, como se llama el sustituto, ha estado en acción desde al menos junio de 2019, principalmente poniendo sus ojos en los dispositivos de firewall WatchGuard, aunque las agencias dijeron que el malware podría reutilizarse para atacar otras arquitecturas y firmware.

Aún más preocupante, el malware de botnet se implementa como una actualización falsa y es capaz de sobrevivir a reinicios y actualizaciones de firmware, con comunicaciones de comando y control (C2) facilitadas a través de la red de anonimato Tor.

“El malware en sí es sofisticado y modular con una funcionalidad básica básica para devolver la información del dispositivo a un servidor y permitir que los archivos se descarguen y ejecuten”, señalaron los investigadores. “También hay funcionalidad para agregar nuevos módulos mientras el malware se está ejecutando, lo que permite a Sandworm implementar capacidad adicional según sea necesario”.

WatchGuard, en un boletín independiente, lo llamó una botnet patrocinada por el estado que aprovechó una vulnerabilidad de seguridad previamente identificada en el firmware de Firebox como el vector de acceso inicial. La deficiencia finalmente se abordó a partir de mayo de 2021.

“Según las estimaciones actuales, Cyclops Blink puede haber afectado aproximadamente al 1% de los dispositivos de firewall WatchGuard activos”, dijo la compañía. “Solo aquellos dispositivos que se habían configurado para tener la administración abierta a Internet son vulnerables a Cyclops Blink”.

La firma con sede en Seattle también recomienda a los clientes que sigan inmediatamente los pasos descritos en el Plan de diagnóstico y corrección de cyclops Blink de 4 pasos para diagnosticar y eliminar la amenaza que representa la posible actividad maliciosa de la botnet.

Los hallazgos se producen cuando Rusia lanzó formalmente una operación militar a gran escala para invadir Ucrania, justo cuando su infraestructura de TI se vio paralizada por una serie de ataques de limpieza de datos y de denegación de servicio distribuido (DDoS).

Fuente: Thehackernews.

 
Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies