El gobierno de EE. UU. dijo el miércoles que tomó medidas para neutralizar una botnet que comprende cientos de enrutadores de pequeñas oficinas y oficinas domésticas (SOHO) con sede en EE. UU. secuestrados por un actor de amenazas patrocinado por el estado vinculado a China llamado Volt Typhoon y mitigar el impacto que representa el pirateo. campaña.
La existencia de la botnet, denominada botnet KVfue revelado por primera vez por el equipo de Black Lotus Labs en Lumen Technologies a mediados de diciembre de 2023. El esfuerzo de aplicación de la ley fue reportado por Reuters a principios de esta semana.
«La gran mayoría de los enrutadores que formaban parte de la botnet KV eran enrutadores Cisco y NetGear que eran vulnerables porque habían alcanzado el estado de ‘fin de vida’; es decir, ya no eran compatibles con los parches de seguridad de sus fabricantes u otras actualizaciones de software». el Departamento de Justicia (DoJ) dicho en un comunicado de prensa.
Volt Typhoon (también conocido como DEV-0391, Bronze Silhouette, Insidious Taurus o Vanguard Panda) es el apodo asignado a un colectivo adversario con sede en China que se ha atribuido a ataques cibernéticos dirigidos a sectores de infraestructura críticos en Estados Unidos y Guam.
«Los ciberactores chinos, incluido un grupo conocido como ‘Volt Typhoon’, están excavando profundamente en nuestra infraestructura crítica para estar preparados para lanzar ciberataques destructivos en caso de una crisis o conflicto importante con los Estados Unidos», dijo la directora de CISA, Jen Easterly. anotado.
El grupo de ciberespionaje, que se cree que está activo desde 2021, es conocido por su dependencia de herramientas legítimas y técnicas de vida de la tierra (LotL) para pasar desapercibido y persistir en los entornos de las víctimas durante largos períodos de tiempo para recopilar datos confidenciales. información.
Otro aspecto importante de su modus operandi es que intenta integrarse en la actividad normal de la red enrutando el tráfico a través de equipos de red SOHO comprometidos, incluidos enrutadores, firewalls y hardware VPN, en un intento de ofuscar sus orígenes.
Esto se logra mediante la botnet KV, que controla dispositivos de Cisco, DrayTek, Fortinet y NETGEAR para usarlos como una red encubierta de transferencia de datos para actores de amenazas persistentes avanzadas. Se sospecha que los operadores de botnets ofrecen sus servicios a otros grupos de hackers, incluido Volt Typhoon.
En enero de 2024, un informe de la empresa de ciberseguridad SecurityScorecard reveló cómo la botnet ha sido responsable de comprometer hasta el 30 % (o 325 de 1116) de los enrutadores Cisco RV320/325 al final de su vida útil durante un período de 37 días desde el 1 de diciembre. de 2023 al 7 de enero de 2024.
«Volt Typhoon es al menos un usuario de la botnet KV y […] Esta botnet abarca un subconjunto de su infraestructura operativa», dijo Lumen Black Lotus Labs, y agregó que la botnet «ha estado activa desde al menos febrero de 2022».
La botnet también está diseñada para descargar un módulo de red privada virtual (VPN) a los enrutadores vulnerables y configurar un canal de comunicación cifrado directo para controlar la botnet y utilizarla como un nodo de retransmisión intermediario para lograr sus objetivos operativos.
«Una función de la botnet KV es transmitir tráfico cifrado entre los enrutadores SOHO infectados, lo que permite a los piratas informáticos anonimizar sus actividades (es decir, los piratas informáticos parecen estar operando desde los enrutadores SOHO, a diferencia de sus computadoras reales en China)», según a declaraciones juradas presentadas por la Oficina Federal de Investigaciones (FBI) de Estados Unidos.
Como parte de sus esfuerzos para interrumpir la botnet, la agencia dijo que emitió comandos de forma remota para apuntar a enrutadores en los EE. UU. utilizando los protocolos de comunicación del malware para eliminar la carga útil de la botnet KV y evitar que se vuelvan a infectar. El FBI dijo que también notificó a todas las víctimas sobre la operación, ya sea directamente o a través de su proveedor de servicios de Internet si la información de contacto no estaba disponible.
«La operación autorizada por el tribunal eliminó el malware KV-botnet de los enrutadores y tomó medidas adicionales para cortar su conexión a la botnet, como bloquear las comunicaciones con otros dispositivos utilizados para controlar la botnet», añadió el Departamento de Justicia.
Es importante señalar aquí que las medidas de prevención no especificadas empleadas para eliminar los enrutadores de la botnet son temporales y no pueden sobrevivir a un reinicio. En otras palabras, simplemente reiniciar los dispositivos los haría susceptibles a una reinfección.
«El malware Volt Typhoon permitió a China ocultar, entre otras cosas, reconocimiento preoperativo y explotación de redes contra infraestructura crítica como nuestros sectores de comunicaciones, energía, transporte y agua; en otras palabras, medidas que China estaba tomando para encontrar y prepararse para destruir o degradar la infraestructura civil crítica que nos mantiene seguros y prósperos», dijo el director del FBI, Christopher Wray. dicho.
Sin embargo, el gobierno chino, en un declaración compartido con Reuters, negó cualquier participación en los ataques, descartándolos como una «campaña de desinformación» y que «ha sido categórico al oponerse a los ataques de piratería y al abuso de las tecnologías de la información».
Coincidiendo con el derribo, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) publicó una nueva guía instando a los fabricantes de dispositivos SOHO a adoptar una seguro por enfoque de diseño durante el desarrollo y alejar la carga de los clientes.
Específicamente, recomienda que los fabricantes eliminen los defectos explotables en las interfaces de administración web de los enrutadores SOHO y modifiquen las configuraciones predeterminadas del dispositivo para admitir capacidades de actualización automática y requieran una anulación manual para eliminar las configuraciones de seguridad.
El compromiso de dispositivos periféricos, como enrutadores, para su uso en ataques persistentes avanzados montados por Rusia y China pone de relieve un problema creciente que se ve agravado por el hecho de que los dispositivos heredados ya no reciben parches de seguridad y no admiten soluciones de detección y respuesta de puntos finales (EDR).
«La creación de productos que carecen de controles de seguridad adecuados es inaceptable dado el actual entorno de amenazas», CISA dicho. «Este caso ejemplifica cómo la falta de prácticas de diseño seguras puede provocar daños en el mundo real tanto a los clientes como, en este caso, a la infraestructura crítica de nuestra nación».