FBI

El FBI toma el control de la botnet Rusa VPN Filter

Daniel

3 min read
El FBI toma el control de la botnet Rusa VPN Filter

Agentes del FBI armados con una orden judicial han tomado el control de un servidor clave en la botnet global del Kremlin de 500,000 enrutadores pirateados. El movimiento posiciona a la oficina para construir una lista completa de las víctimas del ataque y cortocircuita la capacidad de Moscú de reinfectar sus objetivos.

La contra operación del FBI va después de "VPN Filter", una pieza de malware sofisticado vinculado al mismo grupo pirata informático ruso, conocido como Fancy Bear, que violaron el Comité Nacional Demócrata y la campaña de Hillary Clinton durante las elecciones de 2016. El miércoles, los investigadores de seguridad de Cisco y Symantec por separado proporcionaron nuevos detalles sobre el malware, que ha aparecido en 54 países, incluido Estados Unidos.

VPN Filter utiliza vulnerabilidades conocidas para infectar enrutadores de oficina doméstica hechos por Linksys, MikroTik, NETGEAR y TP-Link. Una vez en su lugar, el malware informa a una infraestructura de comando y control que puede instalar complementos construidos especialmente, según los investigadores. Un complemento permite a los piratas informáticos espiar el tráfico de Internet de la víctima para robar las credenciales del sitio web; otro se dirige a un protocolo utilizado en las redes de control industrial, como las de la red eléctrica. Un tercero permite al atacante paralizar cualquiera o todos los dispositivos infectados a voluntad.

El FBI ha estado investigando la red zombi desde agosto, según registros judiciales, cuando agentes en Pittsburgh entrevistaron a un residente local cuyo enrutador doméstico había sido infectado con el malware ruso. "Ella voluntariamente entregó su enrutador a los agentes", escribió el agente del FBI Michael McKeown, en una declaración jurada presentada en un tribunal federal. "Además, la víctima permitió que el FBI utilizara un Network TAP en su red doméstica que permitía al FBI observar el tráfico de red que salía del enrutador de la casa".

Eso permitió a la oficina identificar una debilidad clave en el malware. Si una víctima reinicia un enrutador infectado, todos los complementos maliciosos desaparecerán y solo sobrevivirá el código principal de malware. Ese código está programado para conectarse a través de Internet a una infraestructura de comando y control configurada por los hackers. Primero comprueba las imágenes particulares alojadas en Photobucket.com que contenían información oculta en los metadatos. Si no puede encontrar esas imágenes, que de hecho han sido eliminadas de Photobucket, se convierte en un punto de control de respaldo de emergencia en la dirección web codificada ToKnowAll[.]com.

"Un complemento permite a los piratas informáticos espiar el tráfico de Internet de la víctima; otro se dirige a un protocolo utilizado en la red eléctrica. Un tercero le permite al atacante paralizar cualquiera o todos los dispositivos infectados a voluntad".

El martes, agentes del FBI en Pittsburg le pidieron a la magistrada federal Lisa Pupo Lenihan en Pittsburgh que ordene a la firma de registro de dominios Verisign entregar la dirección de ToKnowAll[.]com al FBI, para "avanzar en la investigación, interrumpir el continuo actividad criminal que involucra el establecimiento y uso de la botnet, y ayudar en los esfuerzos de remediación", según los registros judiciales. Lenihan estuvo de acuerdo, y el miércoles la oficina tomó el control del dominio.

El movimiento efectivamente elimina la capacidad del malware de reactivarse luego de un reinicio, dijo Vikram Thakur, director técnico de Symantec, quien confirmó al que el dominio fue a parar a la policía el miércoles, pero no nombró al FBI. "La carga útil en sí no es persistente y no sobrevivirá si se reinicia el enrutador", agregó Thakur. "Esa carga útil se desvanecerá".

En otras palabras, los consumidores promedio tienen la capacidad de detener el último ataque cibernético de Rusia al reiniciar sus enrutadores, que ahora llegarán al FBI en lugar de a la inteligencia rusa. De acuerdo con los documentos de la corte, el FBI está recopilando las direcciones de IP de Internet de cada enrutador comprometido que llama a ese dominio, para que los agentes puedan usar esa información para limpiar la infección global.

"Una de las cosas que pueden hacer es realizar un seguimiento de quién está infectado actualmente y quién es la víctima ahora y pasar esa información a los ISP locales", dijo Thakur. "Algunos de los ISP tienen la capacidad de reiniciar remotamente el enrutador. Los otros incluso pueden enviar cartas a los usuarios domésticos instándolos a reiniciar sus dispositivos".

La orden judicial solo permite al FBI monitorear los metadatos como la dirección IP de la víctima, no el contenido. Como cuestión técnica, Thakur dijo que no hay peligro de que el malware envíe al FBI el historial del navegador de una víctima u otros datos confidenciales. "La capacidad de amenaza es puramente para pedir cargas adicionales", dijo. "No hay datos que se filtren desde estos enrutadores al dominio que ahora está controlado por una agencia".