Seguridad

El FBI elimina las garras de la botnet rusa Fancy Bear

Según los informes, el FBI ha violado una red de medio millón de enrutadores comprometidos por un grupo de piratería ruso que se cree que se infiltró en el Comité Nacional Demócrata y en las campañas de Hillary Clinton durante el equipo electoral de 2016.

El grupo de piratas informáticos conocido como «Fancy Bear» ha estado utilizando un programa de malware llamado «VPN Filter» para comprometer los enrutadores domésticos y de pequeñas oficinas fabricados por Linksys, MikroTik, Netgear y TP-Link, así como los dispositivos de almacenamiento conectados a la red de QNAP.

Los filtros VPN son «particularmente preocupantes» porque los componentes del malware se pueden usar para robar credenciales de sitios web y apuntar a protocolos de sistemas industriales, como los que se usan en configuraciones de fabricación y servicios públicos, explicó el investigador de amenazas de Cisco Talos, William Largent, en una explicación el miércoles. postal.

«El malware tiene una capacidad destructiva para inutilizar los dispositivos infectados», dijo, «puede activarse en las máquinas de las víctimas individuales o en masa, y tiene el potencial de cortar el acceso a Internet a cientos de miles de víctimas en todo el mundo».

Neutralizar el malware

El FBI obtuvo una orden judicial el martes de un juez de distrito federal en Pittsburgh para tomar el control de un dominio de Internet utilizado por piratas informáticos rusos para administrar malware, informó The Daily Beast.

Según los informes, la oficina ha estado estudiando el malware desde agosto y descubrió una debilidad crítica en el software. Si se reinicia el enrutador, el código central del malware permanece en el dispositivo, pero desaparecen todos los subprogramas necesarios para el comportamiento malicioso.

LEER  La cumbre de Red Hat se enfoca en corregir las fallas del código fuente abierto

Después de reiniciar, el malware está diseñado para acceder a Internet y recargar todos sus desagradables complementos. Al controlar los dominios donde reside este malware, el FBI elimina el malware.

Según The Daily Beast, el FBI ha estado recopilando las direcciones IP de los enrutadores infectados para eliminar las infecciones en todo el mundo.

estrategia prometedora

La estrategia utilizada por el FBI, la capacidad de inhibir la reactivación de la red de bots al apoderarse del dominio de la red de bots, se muestra prometedora como una forma de combatir a los actores de amenazas globales.

Con él, las fuerzas del orden pueden neutralizar amenazas sin incautar recursos maliciosos ubicados en países extranjeros. La captura de estos recursos puede ser un desafío importante para las agencias policiales.

«A menos que la amenaza evolucione para no usar DNS (lo cual es muy poco probable), las mismas estrategias de mitigación tendrán éxito y se seguirán utilizando». más allá de la confianza El CTO Morey Haber le dijo a TechNewsWorld.


bendición

Las fuerzas del orden han tenido suerte en este enfrentamiento con los delincuentes del Kremlin, dice el CISO Leo Taddeo. Cixtera Ex-Agente Especial de Operaciones Especiales en la División Cibernética de la Oficina de Nueva York del FBI.

“En este caso, el FBI pudo causar estragos en la infraestructura de malware porque el grupo de piratería usó Verisign, un registrador de dominios regulado por los EE. UU.”, dijo Taddeo a TechNewsWorld.

«Si el grupo de piratería hubiera utilizado un registrador de dominio ruso, la orden judicial podría haberse retrasado o ignorado», dijo.

Aún así, existen riesgos asociados con el uso de dominios rusos, razón por la cual los piratas informáticos no lo hicieron.

«Un enrutador que llama periódicamente a un dominio .ru después de un reinicio podría ser señalado como un riesgo por los ISP u otras empresas que analizan el tráfico saliente», dijo Taddeo.

«En la próxima ronda, los piratas informáticos pueden configurar los enrutadores para volver a marcar a los servidores de comando y control registrados fuera de la jurisdicción de los EE. UU. De una manera que es difícil de detectar», agregó. «Esto hará que el trabajo del FBI sea mucho más difícil». . «

lo que los consumidores pueden hacer

Los consumidores solo necesitan reiniciar el enrutador para desactivar el filtro VPN. Sin embargo, incluso después de un reinicio, los restos del malware seguirán allí, advierte el director de Threat Labs, Mounir Hahad. Redes de enebro.

«Es importante que los consumidores apliquen los parches proporcionados por el fabricante del dispositivo para eliminar completamente la infección», dijo a TechNewsWorld.

Los consumidores también deberían habilitar las actualizaciones automáticas de firmware, sugirió Haber, y señaló que «la mayoría de los enrutadores nuevos admiten esto».

Además, deben asegurarse de que el firmware del enrutador esté actualizado y que su enrutador no esté huérfano.


«Si su enrutador muere, considere reemplazarlo», aconseja. Esto se debe a que no se corregirán los problemas de seguridad que se descubran después de que el fabricante finalice el soporte para el producto.

Los fabricantes de enrutadores despiertan

Los enrutadores son cada vez más pirateados, lo que lleva a la industria a tomarse la seguridad más en serio.

«Los fabricantes de enrutadores están incorporando más seguridad en sus enrutadores con la esperanza de que este tipo de ataques se anticipen en el futuro». knuth el analista de seguridad Avivah Litan le dijo a TechNewsWorld.

Hahad de Juniper dijo que los fabricantes de enrutadores han estado prestando atención a las vulnerabilidades reveladas y han hecho todo lo posible para proporcionar parches.

«También se están alejando de proporcionar nombres de usuario y contraseñas predeterminados que son comunes en todo lo que se vende”, agregó. «Algunos proveedores ahora tienen contraseñas únicas impresas en etiquetas dentro del empaque del dispositivo».

Si bien la conciencia de seguridad en la industria está aumentando, la adopción de las mejores prácticas sigue siendo desigual, más allá de la confianzaseñaló Harper.

«Muchos agregan actualizaciones automáticas, notificaciones cuando hay nuevo firmware disponible e incluso protección contra malware», dijo.

«Desafortunadamente, no todos lo han hecho, y algunos son muy poco estrictos en la actualización de las amenazas conocidas», observó Haber. «Sí, hay progreso, pero los consumidores deben investigar y verificar que el proveedor sea consciente de la seguridad y proporcione actualizaciones oportunas».

LEER  El momento de la aplicación cibernética y las estrategias de trabajo futuras

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba