{"id":1187898,"date":"2024-02-16T11:28:24","date_gmt":"2024-02-16T11:28:24","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-gobierno-de-ee-uu-desmantela-una-botnet-vinculada-a-rusia-dedicada-al-ciberespionaje\/"},"modified":"2024-02-16T11:28:28","modified_gmt":"2024-02-16T11:28:28","slug":"el-gobierno-de-ee-uu-desmantela-una-botnet-vinculada-a-rusia-dedicada-al-ciberespionaje","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-gobierno-de-ee-uu-desmantela-una-botnet-vinculada-a-rusia-dedicada-al-ciberespionaje\/","title":{"rendered":"El gobierno de EE. UU. desmantela una botnet vinculada a Rusia dedicada al ciberespionaje"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>16 de febrero de 2024<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Botnet\/seguridad de red<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

El gobierno de EE. UU. dijo el jueves que desbarat\u00f3 una botnet que comprende cientos de enrutadores de peque\u00f1as oficinas y oficinas dom\u00e9sticas (SOHO) en el pa\u00eds que fue utilizada por el actor APT28 vinculado a Rusia para ocultar sus actividades maliciosas.<\/p>\n

“Estos cr\u00edmenes incluyeron vastas campa\u00f1as de phishing y campa\u00f1as similares de recolecci\u00f3n de credenciales contra objetivos de inter\u00e9s de inteligencia para el gobierno ruso, como gobiernos estadounidenses y extranjeros y organizaciones militares, de seguridad y corporativas”, dijo el Departamento de Justicia de Estados Unidos (DoJ). dicho<\/a> en una oracion.<\/p>\n

Se considera que APT28, tambi\u00e9n rastreado bajo los apodos BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (anteriormente Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy y TA422, est\u00e1 vinculado a la Unidad 26165 de la Direcci\u00f3n Principal de Rusia. el Estado Mayor (GRU). Se sabe que est\u00e1 activo desde al menos 2007.<\/p>\n

Los documentos judiciales alegan que los atacantes llevaron a cabo sus campa\u00f1as de ciberespionaje confiando en MooBot, una botnet basada en Mirai que ha seleccionado enrutadores fabricados por Ubiquiti para incorporarlos a una red de dispositivos que pueden modificarse para actuar como proxy. retransmitir tr\u00e1fico malicioso mientras protege sus direcciones IP reales.<\/p>\n

\"La<\/a><\/center><\/div>\n

La botnet, dijo el Departamento de Justicia, permiti\u00f3 a los actores de amenazas enmascarar su verdadera ubicaci\u00f3n y recopilar credenciales y hashes NT LAN Manager (NTLM) v2 a trav\u00e9s de scripts personalizados, as\u00ed como alojar p\u00e1ginas de inicio de phishing y otras herramientas personalizadas para contrase\u00f1as de fuerza bruta. , robando contrase\u00f1as de usuarios de enrutadores y propagando el malware MooBot a otros dispositivos.<\/p>\n

En una declaraci\u00f3n jurada redactada presentada por la Oficina Federal de Investigaciones (FBI) de EE. UU., la agencia dijo que MooBot explota enrutadores Ubiquiti vulnerables y de acceso p\u00fablico mediante el uso de credenciales predeterminadas e implanta un malware SSH que permite el acceso remoto persistente al dispositivo.<\/p>\n

“Los ciberdelincuentes que no pertenecen a GRU instalaron el malware MooBot en enrutadores con sistema operativo Ubiquiti Edge que todav\u00eda usaban contrase\u00f1as de administrador predeterminadas conocidas p\u00fablicamente”, explic\u00f3 el Departamento de Justicia. “Los piratas inform\u00e1ticos de GRU luego utilizaron el malware MooBot para instalar sus propios scripts y archivos personalizados que reutilizaron la botnet, convirti\u00e9ndola en una plataforma global de ciberespionaje”.<\/p>\n

Se sospecha que los actores de APT28 encontraron y accedieron ilegalmente a enrutadores Ubiquiti comprometidos mediante la realizaci\u00f3n de escaneos p\u00fablicos de Internet utilizando un n\u00famero de versi\u00f3n espec\u00edfico de OpenSSH como par\u00e1metro de b\u00fasqueda y luego usando MooBot para acceder a esos enrutadores.<\/p>\n

Las campa\u00f1as de phishing llevadas a cabo por el grupo de hackers tambi\u00e9n aprovecharon un d\u00eda cero en Outlook (CVE-2023-23397) para desviar las credenciales de inicio de sesi\u00f3n y transmitirlas a los enrutadores.<\/p>\n

“En otra campa\u00f1a identificada, los actores de APT28 dise\u00f1aron una p\u00e1gina de inicio falsa de Yahoo! para enviar las credenciales ingresadas en la p\u00e1gina falsa a un enrutador Ubiquiti comprometido para que los actores de APT28 las recopilen cuando les convenga”, dijo el FBI.<\/p>\n

Como parte de sus esfuerzos para interrumpir la botnet en los EE. UU. y prevenir m\u00e1s delitos, se han emitido una serie de comandos no especificados para copiar los datos robados y los archivos maliciosos antes de eliminarlos y modificar las reglas del firewall para bloquear el acceso remoto de APT28 a los enrutadores. <\/p>\n

\"La<\/a><\/center><\/div>\n

El n\u00famero exacto de dispositivos que fueron comprometidos en EE.UU. ha sido censurado, aunque el FBI se\u00f1al\u00f3 que podr\u00eda cambiar. Se han detectado dispositivos Ubiquiti infectados en “casi todos los estados”, a\u00f1adi\u00f3.<\/p>\n

La operaci\u00f3n autorizada por el tribunal \u2013 denominada Ascua moribunda<\/a> \u2013 se produce apenas unas semanas despu\u00e9s de que Estados Unidos desmantelara otra campa\u00f1a de pirater\u00eda patrocinada por el estado y originada en China que aprovech\u00f3 una botnet diferente con nombre en c\u00f3digo KV-botnet para atacar instalaciones de infraestructura cr\u00edticas.<\/p>\n

En mayo pasado, Estados Unidos tambi\u00e9n anunci\u00f3 el desmantelamiento de una red global comprometida por una cepa de malware avanzado denominada Snake, utilizada por piratas inform\u00e1ticos asociados con el Servicio Federal de Seguridad (FSB) de Rusia, tambi\u00e9n conocido como Turla.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n