El departamento de Justicia de EE.UU. anuncia acciones para interrumpir la amenaza persistente avanzada de 28 Botnet de enrutadores infectados y dispositivos de almacenamiento en red

El Departamento de Justicia de EE.UU. anunció hace unos días un esfuerzo para desbaratar una botnet global de cientos de miles de enrutadores y otros dispositivos en red infectados en el hogar y la oficina (SOHO) bajo el control de un grupo de actores conocidos como el «Grupo Sofacy» (también conocido como «apt28», «Sandworm», «x-agent», «pewn storm», «fancy bear» y «sednit»). El grupo, que ha estado operando desde aproximadamente 2007, apunta a organizaciones gubernamentales, militares, de seguridad y otros objetivos de valor de inteligencia percibido.

La botnet, denominada por el FBI y los investigadores de seguridad cibernética como «VPNFilter», apunta a enrutadores SOHO y dispositivos de almacenamiento de acceso a la red (NAS), que son dispositivos de hardware formados por varios discos duros utilizados para almacenar datos en una única ubicación que puede ser accedido por múltiples usuarios. La botnet VPNFilter usa varias etapas de malware. Aunque la segunda etapa del malware, que tiene las capacidades maliciosas descritas anteriormente, se puede eliminar de un dispositivo reiniciándolo, la primera etapa del malware persiste mediante un reinicio, lo que dificulta prevenir la reinfección en la segunda etapa.

Para identificar dispositivos infectados y facilitar su reparación, la Oficina del Fiscal de Estados Unidos para Pensilvania solicitó y obtuvo órdenes judiciales, autorizando al FBI a incautar un dominio que es parte de la infraestructura de comando y control del malware. Esto redirigirá los intentos de la etapa uno del malware para reinfectar el dispositivo a un servidor controlado por el FBI, que capturará la dirección del Protocolo de Internet (IP) de los dispositivos infectados, de acuerdo con un proceso legal. Una organización sin fines de lucro, The Shadowserver Foundation, diseminará las direcciones IP a aquellos que pueden ayudar a remediar la botnet VPNFilter, incluidos los CERT y proveedores de servicios de Internet (ISP) extranjeros.

Propietarios de los dispositivos SOHO y NAS que puedan estar infectados deben reiniciar sus dispositivos lo antes posible, eliminar temporalmente el malware de la segunda etapa y hacer que el malware de la primera etapa en su dispositivo solicite instrucciones. Aunque los dispositivos seguirán siendo vulnerables a la reinfección con el malware de segunda etapa mientras están conectados a Internet, estos esfuerzos maximizan las oportunidades de identificar y remediar la infección en el tiempo disponible antes de que los actores de Sofacy conozcan la vulnerabilidad en su infraestructura de comando y control.

El FBI y el Departamento de Seguridad Nacional también han notificado conjuntamente a los ISP de confianza. El Departamento y el FBI también alientan a los usuarios y administradores a revisar la publicación de blog de Cisco en VPNFilter, disponible AQUÍ (link is external), para recomendaciones y para asegurar que sus dispositivos se actualicen con los últimos parches.

Los esfuerzos para interrumpir la botnet VPNFilter fueron liderados por las oficinas de Pittsburgh y Atlanta del FBI; División Cibernética del FBI; El abogado litigante Matthew Chang de la Sección de Contrainteligencia y Control de Exportaciones de la División de Seguridad Nacional; y los Fiscales Federales Auxiliares Charles Eberle y Soo C. Canción del Distrito Oeste de Pensilvania. La asistencia crítica también fue proporcionada por Richard Green de la Sección de Delitos Informáticos y Propiedad Intelectual de la División Criminal y la Fundación Shadowserver.