El Departamento de Justicia de Estados Unidos dijo el miércoles que el FBI envió subrepticiamente comandos a cientos de enrutadores infectados de pequeñas oficinas y oficinas domésticas para eliminar el malware que los piratas informáticos patrocinados por el estado de China estaban utilizando para atacar infraestructuras críticas.
Los enrutadores, principalmente dispositivos Cisco y Netgear que habían llegado al final de su vida útil, estaban infectados con lo que se conoce como malware KV Botnet, dijeron funcionarios del Departamento de Justicia. dicho. Los piratas informáticos chinos de un grupo rastreado como Volt Typhoon utilizaron el malware para colocar los enrutadores en una red que pudieran controlar. El tráfico que pasaba entre los piratas informáticos y los dispositivos comprometidos se cifró utilizando un módulo VPN KV Botnet instalado. Desde allí, los operadores de la campaña se conectaron a las redes de organizaciones de infraestructura crítica de EE. UU. para establecer puestos que podrían usarse en futuros ciberataques. El acuerdo provocó que el tráfico pareciera originarse en direcciones IP de EE. UU. con reputación confiable en lugar de regiones sospechosas en China.
Incautación de dispositivos infectados
Antes de que la eliminación pudiera llevarse a cabo legalmente, los agentes del FBI tuvieron que recibir autorización (técnicamente para lo que se llama una incautación de enrutadores infectados o “dispositivos objetivo”) de un juez federal. En diciembre se presentó una declaración jurada inicial en busca de autoridad ante un tribunal federal estadounidense en Houston. Desde entonces se han presentado solicitudes posteriores.
“Para efectuar estas incautaciones, el FBI emitirá un comando a cada dispositivo objetivo para impedir que ejecute el proceso KV Botnet VPN”, escribió un agente especial de la agencia en un declaración jurada con fecha del 9 de enero. “Este comando también impedirá que el dispositivo de destino funcione como un nodo VPN, evitando así que los piratas informáticos accedan a los dispositivos de destino a través de cualquier túnel VPN establecido. Este comando no afectará al dispositivo de destino si el proceso VPN no se está ejecutando y no afectará de otro modo al dispositivo de destino, incluido cualquier proceso VPN legítimo instalado por el propietario del dispositivo de destino”.
La declaración del Departamento de Justicia del miércoles dijo que las autoridades habían llevado a cabo la eliminación, que desinfectó “cientos” de enrutadores infectados y los eliminó de la botnet. Para evitar que los dispositivos se reinfectaran, los operadores de eliminación emitieron comandos adicionales que, según la declaración jurada, “interferirían con el control de los piratas informáticos sobre los instrumentos de sus delitos (los Dispositivos Objetivo), incluso evitando que los piratas informáticos reinfectaran fácilmente el Objetivo”. Dispositivos.”
La declaración jurada decía en otra parte que las medidas de prevención se neutralizarían si se reiniciaran los enrutadores. Estos dispositivos volverían a ser vulnerables a las infecciones.
Las redacciones en la declaración jurada hacen que los medios precisos utilizados para prevenir reinfecciones no queden claros. Sin embargo, las partes que no fueron censuradas indicaron que la técnica implicaba un mecanismo de bucle invertido que impedía que los dispositivos se comunicaran con cualquiera que intentara piratearlos.
Partes de la declaración jurada explicadas:
22. Para efectuar estas incautaciones, el FBI emitirá simultáneamente comandos que interferirán con el control de los piratas informáticos sobre los instrumentos de sus delitos (los Dispositivos de destino), incluso evitando que los piratas informáticos vuelvan a infectar fácilmente los Dispositivos de destino con el malware KV Botnet. .
- a. Cuando el FBI elimina el malware KV Botnet de los dispositivos de destino [redacted. To seize the Target Devices and interfere with the hackers’ control over them, the FBI [redacted]. Este [redacted] no tendrá ningún efecto excepto proteger el dispositivo de destino de la reinfección por la KV Botnet [redacted] El efecto de se puede deshacer reiniciando el dispositivo de destino. [redacted] hacer que el dispositivo objetivo sea vulnerable a una reinfección.
- b. [redacted] el FBI se apoderará de cada uno de esos dispositivos de destino haciendo que el malware que contiene se comunique solo con él mismo. Este método de incautación interferirá con la capacidad de los piratas informáticos para controlar estos dispositivos de destino. Este bucle de comunicaciones, al igual que el propio malware, no sobrevivirá al reinicio de un dispositivo de destino.
- C. Para confiscar los dispositivos objetivo, el FBI [redacted] bloquear el tráfico entrante [redacted] utilizado exclusivamente por el malware KV Botnet en dispositivos de destino, para bloquear el tráfico saliente a [redacted] los nodos principales y de comando y control de los dispositivos de destino, y para permitir que un dispositivo de destino se comunique consigo mismo [redacted] normalmente no son utilizados por el enrutador, por lo que la funcionalidad legítima del enrutador no se ve afectada. El efecto de [redacted] para evitar que otras partes de la botnet contacten al enrutador de la víctima, deshagan los comandos del FBI y lo vuelvan a conectar a la botnet. El efecto de estos comandos se deshace reiniciando los dispositivos de destino.
23. Para efectuar estas incautaciones, el FBI emitirá un comando a cada dispositivo de destino para impedir que ejecute el proceso KV Botnet VPN. Este comando también impedirá que el dispositivo de destino funcione como nodo VPN, evitando así que los piratas informáticos accedan a los dispositivos de destino a través de cualquier túnel VPN establecido. Este comando no afectará al dispositivo de destino si el proceso VPN no se está ejecutando y no afectará de otro modo al dispositivo de destino, incluido cualquier proceso VPN legítimo instalado por el propietario del dispositivo de destino.