Las autoridades estadounidenses han revelado El 6 de abril rastreó y eliminó la botnet de ciertas computadoras infectadas, a veces sin el conocimiento de las víctimas. Denominado Cyclops Blink, surgió en junio de 2019 y se le atribuye al grupo Sandworm tras el cual se esconde el GRU, la inteligencia militar rusa. Muchos dispositivos aún estarían infectados.
Cyclops Blink, heredero de VPNFilter
Desde el comienzo de la invasión rusa de Ucrania el 24 de febrero, Estados Unidos ha advertido constantemente a sus empresas críticas contra los riesgos cibernéticos. Al revelar la existencia de una operación contra la botnet Cyclops Blink, el país hace muy concreta esta amenaza, como ya hiciera unas semanas antes con un ciberataque más antiguo. El objetivo también es advertir a Rusia que Estados Unidos no la dejará pasar.
Ex empleado de Cash App roba datos de 8,2 millones de usuarios
El asistente del fiscal Matthew Olsen asume esta parte de la comunicación en el enfoque de transparencia de las autoridades «. autorizado por la corte, esta eliminación de malware implementada por el GRU ruso demuestra el compromiso del departamento de interrumpir la piratería de los estados-nación utilizando todas las herramientas legales a nuestra disposición. «.
Cyclops Blink atacó dispositivos de la marca WatchGuard y Asus. Fue descubierto en febrero de 2022 por el Centro Nacional de Seguridad Cibernética (NCSC), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), los equivalentes de ANSSI en el Reino Unido y EE. UU., así como la NSA y el FBI.
El malware se describe como un heredero de VPNFilter. Estuvo presente en unos 500.000 enrutadores estadounidenses en 2018. La justicia estadounidense explica: “ Al igual que con VPNFilter, los actores de Sandworm han implementado Cyclops Blink en dispositivos de red de todo el mundo en lo que parece ser una forma indiscriminada; es decir, la infección de un dispositivo en particular por parte de los actores de Sandworm parece haber sido motivada por la vulnerabilidad de ese dispositivo al malware, en lugar de un esfuerzo concertado para apuntar a ese dispositivo en particular o a su propietario por otras razones. «.
El FBI operó discretamente
Una botnet es una red de computadoras zombies, controlada por el atacante cibernético. Puede permanecer latente hasta el momento deseado. El Departamento de Justicia de EE. UU. admite que no identificó al objetivo de Cyclops Blink. La red informática podría haber sido utilizada para espionaje o sabotaje. No es lo más importante para el fiscal general Merrick Garland, quien dijo: » Afortunadamente, pudimos interrumpir esta botnet antes de que pudiera usarse. «.
Esta perturbación se realizó en dos pasos. En primer lugar, WatchGuard y Asus, advirtieron, publicaron un aviso el 23 de febrero para advertir a sus clientes y alentarlos a limpiar sus máquinas. Esta publicación tuvo un efecto insuficiente según las autoridades, la cantidad de dispositivos con la botnet se redujo solo en un 39%.
Por lo tanto, los estadounidenses decidieron subir de velocidad. El 18 de marzo, dos tribunales autorizaron silenciosamente al FBI a borrar de forma remota las redes informáticas de las empresas con sede en los EE. UU., a veces sin notificar a las víctimas por adelantado, informa el New York Times.
Las autoridades insisten en que Cyclops Blink no se ha ido por completo, ni mucho menos. Las recomendaciones de WatchGuard y Asus siguen siendo válidas afirma el Departamento de Justicia, “ El departamento insta a los defensores de la red y a los propietarios de dispositivos a revisar el aviso y las declaraciones del 23 de febrero de WatchGuard y ASUS. «. Animar a las empresas a actuar por su ciberseguridad es el último gran tema de estas revelaciones oficiales.
Estados Unidos está al límite
Este paso es tanto más importante cuanto que Sandworm ya ha demostrado su poder para hacer daño. El grupo afiliado al Kremlin es conocido por varias operaciones importantes contra la red eléctrica ucraniana en 2015, 2016, por NotPetya en 2017 y otras, incluido VPNFilter. En Francia, sería el responsable del hackeo de los buzones de En Marche durante las elecciones presidenciales de 2017.
Las agencias de inteligencia de EE. UU. están observando los ataques contra Ucrania con una atención no disimulada. Ya sea contra VIASAT al comienzo de la invasión o más recientemente contra el proveedor de servicios de Internet Ukrtelecom, el Pentágono y los servicios temen que estos ciberataques rusos, actualmente concentrados en Ucrania, eventualmente lleguen a Estados Unidos.