El gobierno de EE. UU. dijo el mi\u00e9rcoles que tom\u00f3 medidas para neutralizar una botnet que comprende cientos de enrutadores de peque\u00f1as oficinas y oficinas dom\u00e9sticas (SOHO) con sede en EE. UU. secuestrados por un actor de amenazas patrocinado por el estado vinculado a China llamado Volt Typhoon y mitigar el impacto que representa el pirateo. campa\u00f1a.<\/p>\n
La existencia de la botnet, denominada botnet KV<\/strong>fue revelado por primera vez por el equipo de Black Lotus Labs en Lumen Technologies a mediados de diciembre de 2023. El esfuerzo de aplicaci\u00f3n de la ley fue reportado<\/a> por Reuters a principios de esta semana.<\/p>\n “La gran mayor\u00eda de los enrutadores que formaban parte de la botnet KV eran enrutadores Cisco y NetGear que eran vulnerables porque hab\u00edan alcanzado el estado de ‘fin de vida’; es decir, ya no eran compatibles con los parches de seguridad de sus fabricantes u otras actualizaciones de software”. el Departamento de Justicia (DoJ) dicho<\/a> en un comunicado de prensa.<\/p>\n Volt Typhoon (tambi\u00e9n conocido como DEV-0391, Bronze Silhouette, Insidious Taurus o Vanguard Panda) es el apodo asignado a un colectivo adversario con sede en China que se ha atribuido a ataques cibern\u00e9ticos dirigidos a sectores de infraestructura cr\u00edticos en Estados Unidos y Guam.<\/p>\n “Los ciberactores chinos, incluido un grupo conocido como ‘Volt Typhoon’, est\u00e1n excavando profundamente en nuestra infraestructura cr\u00edtica para estar preparados para lanzar ciberataques destructivos en caso de una crisis o conflicto importante con los Estados Unidos”, dijo la directora de CISA, Jen Easterly. anotado<\/a>.<\/p>\n El grupo de ciberespionaje, que se cree que est\u00e1 activo desde 2021, es conocido por su dependencia de herramientas leg\u00edtimas y t\u00e9cnicas de vida de la tierra (LotL) para pasar desapercibido y persistir en los entornos de las v\u00edctimas durante largos per\u00edodos de tiempo para recopilar datos confidenciales. informaci\u00f3n.<\/p>\n Otro aspecto importante de su modus operandi es que intenta integrarse en la actividad normal de la red enrutando el tr\u00e1fico a trav\u00e9s de equipos de red SOHO comprometidos, incluidos enrutadores, firewalls y hardware VPN, en un intento de ofuscar sus or\u00edgenes.<\/p>\n Esto se logra mediante la botnet KV, que controla dispositivos de Cisco, DrayTek, Fortinet y NETGEAR para usarlos como una red encubierta de transferencia de datos para actores de amenazas persistentes avanzadas. Se sospecha que los operadores de botnets ofrecen sus servicios a otros grupos de hackers, incluido Volt Typhoon.<\/p>\n En enero de 2024, un informe de la empresa de ciberseguridad SecurityScorecard revel\u00f3 c\u00f3mo la botnet ha sido responsable de comprometer hasta el 30 % (o 325 de 1116) de los enrutadores Cisco RV320\/325 al final de su vida \u00fatil durante un per\u00edodo de 37 d\u00edas desde el 1 de diciembre. de 2023 al 7 de enero de 2024.<\/p>\n “Volt Typhoon es al menos un usuario de la botnet KV y […] Esta botnet abarca un subconjunto de su infraestructura operativa”, dijo Lumen Black Lotus Labs, y agreg\u00f3 que la botnet “ha estado activa desde al menos febrero de 2022”.<\/p>\n La botnet tambi\u00e9n est\u00e1 dise\u00f1ada para descargar un m\u00f3dulo de red privada virtual (VPN) a los enrutadores vulnerables y configurar un canal de comunicaci\u00f3n cifrado directo para controlar la botnet y utilizarla como un nodo de retransmisi\u00f3n intermediario para lograr sus objetivos operativos.<\/p>\n “Una funci\u00f3n de la botnet KV es transmitir tr\u00e1fico cifrado entre los enrutadores SOHO infectados, lo que permite a los piratas inform\u00e1ticos anonimizar sus actividades (es decir, los piratas inform\u00e1ticos parecen estar operando desde los enrutadores SOHO, a diferencia de sus computadoras reales en China)”, seg\u00fan a declaraciones juradas presentadas por la Oficina Federal de Investigaciones (FBI) de Estados Unidos.<\/p>\n Como parte de sus esfuerzos para interrumpir la botnet, la agencia dijo que emiti\u00f3 comandos de forma remota para apuntar a enrutadores en los EE. UU. utilizando los protocolos de comunicaci\u00f3n del malware para eliminar la carga \u00fatil de la botnet KV y evitar que se vuelvan a infectar. El FBI dijo que tambi\u00e9n notific\u00f3 a todas las v\u00edctimas sobre la operaci\u00f3n, ya sea directamente o a trav\u00e9s de su proveedor de servicios de Internet si la informaci\u00f3n de contacto no estaba disponible.<\/p>\n “La operaci\u00f3n autorizada por el tribunal elimin\u00f3 el malware KV-botnet de los enrutadores y tom\u00f3 medidas adicionales para cortar su conexi\u00f3n a la botnet, como bloquear las comunicaciones con otros dispositivos utilizados para controlar la botnet”, a\u00f1adi\u00f3 el Departamento de Justicia.<\/p>\n Es importante se\u00f1alar aqu\u00ed que las medidas de prevenci\u00f3n no especificadas empleadas para eliminar los enrutadores de la botnet son temporales y no pueden sobrevivir a un reinicio. En otras palabras, simplemente reiniciar los dispositivos los har\u00eda susceptibles a una reinfecci\u00f3n.<\/p>\n “El malware Volt Typhoon permiti\u00f3 a China ocultar, entre otras cosas, reconocimiento preoperativo y explotaci\u00f3n de redes contra infraestructura cr\u00edtica como nuestros sectores de comunicaciones, energ\u00eda, transporte y agua; en otras palabras, medidas que China estaba tomando para encontrar y prepararse para destruir o degradar la infraestructura civil cr\u00edtica que nos mantiene seguros y pr\u00f3speros”, dijo el director del FBI, Christopher Wray. dicho<\/a>.<\/p>\n Sin embargo, el gobierno chino, en un declaraci\u00f3n<\/a> compartido con Reuters, neg\u00f3 cualquier participaci\u00f3n en los ataques, descart\u00e1ndolos como una “campa\u00f1a de desinformaci\u00f3n” y que “ha sido categ\u00f3rico al oponerse a los ataques de pirater\u00eda y al abuso de las tecnolog\u00edas de la informaci\u00f3n”.<\/p>\n Coincidiendo con el derribo, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) public\u00f3 una nueva gu\u00eda instando a los fabricantes de dispositivos SOHO a adoptar una seguro por enfoque de dise\u00f1o<\/a> durante el desarrollo y alejar la carga de los clientes.<\/p>\n Espec\u00edficamente, recomienda que los fabricantes eliminen los defectos explotables en las interfaces de administraci\u00f3n web de los enrutadores SOHO y modifiquen las configuraciones predeterminadas del dispositivo para admitir capacidades de actualizaci\u00f3n autom\u00e1tica y requieran una anulaci\u00f3n manual para eliminar las configuraciones de seguridad.<\/p>\n El compromiso de dispositivos perif\u00e9ricos, como enrutadores, para su uso en ataques persistentes avanzados montados por Rusia y China pone de relieve un problema creciente que se ve agravado por el hecho de que los dispositivos heredados ya no reciben parches de seguridad y no admiten soluciones de detecci\u00f3n y respuesta de puntos finales (EDR).<\/p>\n “La creaci\u00f3n de productos que carecen de controles de seguridad adecuados es inaceptable dado el actual entorno de amenazas”, CISA dicho<\/a>. “Este caso ejemplifica c\u00f3mo la falta de pr\u00e1cticas de dise\u00f1o seguras puede provocar da\u00f1os en el mundo real tanto a los clientes como, en este caso, a la infraestructura cr\u00edtica de nuestra naci\u00f3n”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/Los-federales-estadounidenses-cierran-los-negocios-vinculados-a-China-quotBotnet.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n