El FBI accedió de forma remota y desinfectó dispositivos ubicados en EE. UU. que ejecutan una nueva y poderosa variedad de malware de botnet estatal ruso, dijeron las autoridades federales el miércoles. Esas autoridades agregaron que el Kremlin estaba usando el malware para realizar ataques sigilosos a sus adversarios.
Los dispositivos infectados se componían principalmente de dispositivos de firewall de WatchGuard y, en menor medida, dispositivos de red de Asus. Ambas cosas fabricantes Avisos emitidos recientemente que brindan recomendaciones para fortalecer o desinfectar dispositivos infectados por la botnet, conocida como Cyclops Blink. Es el último malware de botnet de Sandworm de Rusia, que se encuentra entre los equipos de piratería patrocinados por el estado más elitistas y destructivos del mundo.
Recuperando el control
Cyclops Blink salió a la luz en febrero en un aviso emitido conjuntamente por el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Agencia de Seguridad Nacional (NSA) y la Oficina Federal de Investigaciones (FBI). . WatchGuard dijo en ese momento que el malware había infectado alrededor del 1 por ciento de los dispositivos de red que fabricaba.
Cyclops Blink reemplazó a otra pieza de malware diseñada por Sandworm conocida como VPNFilter, que los investigadores descubrieron en 2018 al infectar 500 000 enrutadores en EE. UU. fabricados por Linksys, MikroTik, Netgear, QNAP y TP-Link. El FBI incautó rápidamente un servidor que Sandworm estaba usando para infectar dispositivos con VPNFilter. Una vez que se completó, la oficina instruyó al público a reiniciar sus dispositivos. Con eso, la botnet fue desmantelada.
Cyclops Blink fue el intento de Sandworm de recuperar el control persistente de los dispositivos de red, y el malware casi funcionó. en un declaración jurada de la corte
Al igual que con VPNFilter, los actores de Sandworm han implementado Cyclops Blink en dispositivos de red en todo el mundo de una manera que parece ser indiscriminada; es decir, la infección de los actores de Sandworm de cualquier dispositivo en particular parece haber sido impulsada por la vulnerabilidad de ese dispositivo al malware, en lugar de un esfuerzo concertado para apuntar a ese dispositivo en particular oa su propietario por otras razones. Los actores de Sandworm lo han hecho mediante la explotación de vulnerabilidades de software en varios dispositivos de red, principalmente dispositivos de firewall WatchGuard. En particular, los dispositivos WatchGuard son vulnerables a un exploit que permite el acceso remoto no autorizado a los paneles de administración de esos dispositivos.
La botnet persistió incluso después del 23 de febrero. Fue entonces cuando WatchGuard, en coordinación con el FBI, publicó instrucciones para devolver los dispositivos desinfectados a un estado limpio y configurar los dispositivos para evitar el acceso sin restricciones a las interfaces de administración. WatchGuard también corrigió una vulnerabilidad rastreada como CVE-2022-23176, que abrió la brecha de autenticación cuando los servidores se configuraron para permitir el acceso de administración sin restricciones desde direcciones IP externas. A pesar del CVE emitido este año, WatchGuard dijo el miércolesla vulnerabilidad se solucionó por completo en mayo de 2021.
Pendientes resbaladizas y la ley de las consecuencias no deseadas
Sin embargo, después del aviso de febrero, la cantidad de dispositivos en la botnet Cyclops Blink se redujo solo en un 39 por ciento. En respuesta, el FBI fue un paso más allá que con VPNFilter en 2018. En una operación clandestina de desmantelamiento encubierta por una orden federal, los agentes accedieron de forma remota a dispositivos WatchGuard infectados conectados a 13 direcciones IP de EE. UU. A partir de ahí, los agentes:
- Confirmada la presencia del malware Cyclops Blink
- Registrado el número de serie que Cyclops Blink usó para rastrear sus bots
- Copié una lista de otros dispositivos también infectados por Cyclops Blink
- Desinfectamos las maquinas
- Puertos de administración cerrados orientados a Internet para evitar que Sandworm tenga acceso remoto
No es la primera vez que el FBI accede de forma remota a un dispositivo infectado para eliminar una amenaza, pero es un ejemplo temprano. Muchos profesionales de la seguridad han expresado su preocupación de que tales movimientos tengan el potencial de causar daño si dichas acciones interrumpen accidentalmente un proceso de misión crítica. Los defensores de la privacidad también han denunciado la exposición que tales acciones pueden tener sobre la información de las personas privadas.
Jake Williams, ex pirata informático de la NSA y ahora director ejecutivo de la firma de seguridad Cyber Threat Intelligence, expresó las mismas preocupaciones en torno a este caso. Sin embargo, dijo que los pasos específicos que tomó el FBI lo hicieron sentir más cómodo. En un mensaje, escribió:
Creo que siempre es arriesgado para LE [law enforcement] para modificar cualquier cosa en un servidor que no controlan. Sin embargo, en este caso, no creo que haya un riesgo significativo, por lo que los beneficios superaron claramente los riesgos. Muchos citarán argumentos de pendiente resbaladiza como razones por las que esta acción en particular fue inapropiada, pero creo que eso está mal. El hecho de que el FBI coordinó con la empresa privada (WatchGuard) en esta acción es particularmente significativo.
La declaración jurada del FBI dijo que, en septiembre pasado, los agentes entrevistaron a representantes de una empresa que operaba un dispositivo infectado en su red. La empresa permitió a los agentes tomar una imagen forense de la máquina y “observar de forma prospectiva el tráfico de red asociado con el dispositivo de firewall”.