Las agencias gubernamentales han descubierto un nuevo malware asesino de dispositivos de red para el hogar y la oficina más letal que reemplaza el código VPNFilter más débil.
Los gobiernos de EE. UU. y el Reino Unido publicaron un informe conjunto el miércoles que detalla una nueva cepa de malware desarrollada por la unidad cibernética militar de Rusia desplegada en la naturaleza desde 2019 y utilizada para comprometer de forma remota dispositivos de red, principalmente enrutadores de oficinas pequeñas/oficinas domésticas (SOHO) y almacenamiento conectado a la red. (NAS) dispositivos.
El informe especial de actividad cibernética se produjo horas antes de que las fuerzas rusas comenzaran una invasión de la vecina Ucrania el miércoles por la noche.
La Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Agencia de Seguridad Nacional (NSA) emitieron una alerta inicial sobre las intrusiones cibernéticas el 16 de febrero. Ese informe reveló que los ciberdelincuentes patrocinados por el estado ruso acecharon durante los últimos dos años en numerosas redes de contratistas de defensa autorizados de EE. UU. (CDC) robando información confidencial y no clasificada junto con tecnología patentada y controlada por exportación.
Tabla de Contenidos
Herramienta DDoS
El malware denominado Cyclops Blink parece ser un reemplazo del malware VPNFilter expuesto en 2018. Su implementación podría permitir que Sandworm acceda a redes de forma remota.
El Centro Nacional de Seguridad Cibernética (NCSC) en el Reino Unido, junto con el FBI, CISA y la NSA en los EE. UU., publicaron el aviso.
El informe cibernético incluye pasos que describen cómo identificar una infección de Cyclops Blink y señala consejos de mitigación para ayudar a las organizaciones a eliminarla. El malware afecta el formato ejecutable y enlazable (ELF) de los sistemas operativos Linux y explota una función API de Linux para descargar archivos maliciosos, ejecutar ataques y mantener la persistencia en las redes de las víctimas.
Los expertos cibernéticos de Digital Shadows, un proveedor de soluciones de protección contra riesgos digitales, carecían de pruebas específicas que vincularan el malware Cyclops Blink con los ataques DDoS más recientes de Ucrania, según Rick Holland, director de seguridad de la información y vicepresidente de estrategia de esa empresa.
“Sin embargo, los enrutadores comprometidos brindan a los rusos una herramienta DDoS útil para distraer e interrumpir a sus adversarios al mismo tiempo que brindan un nivel de negación plausible. Rusia ha usado botnets en el pasado; en 2018, el FBI desconectó una botnet asociada con el malware VPNFilter”, dijo a TechNewsWorld.
Conecta los puntos
El aviso conjunto identifica a la unidad cibernética como un actor hacker llamado Sandworm, también conocido como Voodoo Bear. El informe describió que el nuevo malware tiene un marco más avanzado.
Las agencias de EE. UU. y el Reino Unido atribuyeron previamente al actor Sandworm a la agencia de inteligencia del ejército ruso o al Centro Principal de Tecnologías Especiales GTsST de GRU.
Rusia no solo decidió invadir Ucrania esta semana, observó Holland. Los planificadores militares se prepararon para esta campaña con años de anticipación.
“La desinformación, las banderas falsas, los ataques DDoS y el malware de limpieza destructivo son parte de la doctrina militar rusa. Los planes de batalla se han elaborado y ahora se están ejecutando, dijo.
Dada la historia antes y después de la invasión rusa de Crimea en 2014, es muy probable que la fuente de los ataques de malware provenga de Rusia, observó John Dickson, vicepresidente de la firma de servicios de asesoramiento en ciberseguridad Coalfire.
“Apostaría un millón de rublos a que esto es de nuestros amigos en Moscú. Es probable que estén tratando de suavizar el objetivo al interrumpir el comando, el control y las comunicaciones de Ucrania antes de cualquier invasión más amplia de Ucrania”, dijo a TechNewsWorld.
Detalles de ciberseguridad
Un informe de análisis de malware del NCSC sobre Cyclops Blink está disponible aquí. Este informe cubre el análisis de dos muestras adquiridas recientemente por el FBI de dispositivos WatchGuard Firebox que se sabe que se incorporaron a la red de bots.
El análisis describe a Cyclops Blink como un formato ejecutable y enlazable de Linux malicioso compilado para la arquitectura PowerPC (big-endian) de 32 bits.
NCSC, FBI, CISA, NSA y análisis de la industria lo vinculan con una red de bots a gran escala dirigida a dispositivos de red de oficina pequeña/oficina doméstica (SOHO). Esta botnet ha estado activa desde al menos junio de 2019, afectando a WatchGuard Firebox y posiblemente a otros dispositivos de red SOHO.
Las muestras se cargan en la memoria como dos segmentos de programa. El primero de estos segmentos tiene permisos de lectura/ejecución y contiene el encabezado ELF de Linux y el código ejecutable del malware. El segundo tiene permisos de lectura/escritura y contiene los datos, incluida la información específica de la víctima, utilizada por el malware.
Riesgo de posibles consecuencias
Las preguntas que se avecinan son qué tan resistente es Rusia a las nuevas sanciones económicas y de otro tipo de Occidente que, según los informes, Estados Unidos anunciará el jueves y qué tan lejos se extenderán las represalias rusas más allá de las fronteras de Ucrania, ofreció Digital Shadows’ Holland.
“Según las declaraciones del Ministerio de Relaciones Exteriores de Rusia emitidas ayer (23 de febrero) en torno a una respuesta fuerte y dolorosa, la infraestructura crítica de EE. UU. y Occidente podría ser un objetivo pronto, incluidas la energía y las finanzas”, advirtió.
Dickson de Coalfire recomendó cuatro controles de seguridad a la luz de las advertencias cibernéticas:
- Haga una lluvia de ideas sobre posibles escenarios de interrupción, por ejemplo, viajes internacionales o interrupción del GPS y planes de respuesta de embarcaciones.
- Realice un ejercicio de simulación rápido adaptado a un escenario de conflicto regional. Reúna a líderes corporativos clave para identificar brechas e identificar riesgos adicionales.
- Identifique y proteja al personal clave que pueda verse afectado por la interrupción asociada con la ampliación del conflicto en el área de Ucrania.
- Asegure los recursos de seguridad externos (más humanos) cuando sus flujos de trabajo aumenten exponencialmente.
Cyclops Blink Conclusiones
El informe concluye que el enfoque de diseño modular de Cyclops Blink está desarrollado profesionalmente. El análisis de las muestras de malware indica que probablemente se desarrollaron a partir de un código base común y que los desarrolladores se esforzaron por garantizar que las comunicaciones de comando y control fueran difíciles de detectar y rastrear.
Los desarrolladores claramente aplicaron ingeniería inversa a la actualización de firmware de WatchGuard Firebox e identificaron una debilidad específica en su proceso, a saber, la capacidad de volver a calcular el valor del código de autenticación de mensajes basado en hash (o HMAC) que se usa para verificar una imagen de actualización de firmware. Aprovecharon esta debilidad para mantener la persistencia de Cyclops Blink durante todo el proceso legítimo de actualización del firmware.
Cyclops Blink tiene acceso de lectura/escritura al sistema de archivos del dispositivo. Esto permite que los archivos legítimos se reemplacen con versiones modificadas (por ejemplo, install_upgrade). Incluso si se corrigiera la debilidad específica, los desarrolladores serían capaces de implementar nuevas capacidades para mantener la persistencia de Cyclops Blink.
Estos factores, combinados con el enfoque de desarrollo profesional, llevan a la conclusión del NCSC de que Cyclops Blink es una pieza de malware altamente sofisticada.
Las muestras de Cyclops Blink se compilaron para la arquitectura PowerPC (big-endian) de 32 bits. Sin embargo, los dispositivos WatchGuard cubren una amplia gama de arquitecturas. Por lo tanto, es muy probable que estos también sean el objetivo del malware.
También es muy probable que la debilidad en el proceso de actualización del firmware esté presente en otros dispositivos WatchGuard. Por lo tanto, se recomienda que los usuarios sigan los consejos de mitigación de WatchGuard para todos los dispositivos relevantes.