in

EE. UU. interrumpe la botnet ‘Cyclops Blink’ pirateando dispositivos infectados

066obSADEZaw9Bn48suxX4B 1.fit lim.size 1200x630.v1649259222

Estados Unidos dice que ha interrumpido la botnet «Cyclops Blink» al piratear algunos de los dispositivos infectados y eliminar el malware a bordo.

El FBI lo hizo al obtener una orden judicial que permitía a los agentes federales eliminar el malware de los dispositivos de comando y control (C2) en la botnet, dijo el miércoles el Departamento de Justicia.

Estados Unidos culpa a la inteligencia militar de Rusia, el GRU, por crear la botnet como una forma de espiar las redes de las empresas. En febrero, los funcionarios federales advirtieron que se había encontrado una nueva variedad de malware basado en Linux, llamada Cyclops Blink, dirigida a enrutadores vulnerables y dispositivos de firewall del fabricante de PC Asus y el proveedor de seguridad de red WatchGuard.

Una vez que infecta, Cyclops Blink puede permitir que un pirata informático cargue y descargue archivos en el dispositivo de forma remota, incluidas otras cargas maliciosas. También se puede usar para modificar y deshabilitar el dispositivo de firewall. Dado que Cyclops Blink recibe instrucciones de una lista de máquinas C2, los dispositivos infectados funcionan como un ejército de computadoras esclavizadas, también conocido como botnet.

Gráfico de red de bots

(Ilustración: Jaiz Anuar/Getty Images)

Cyclop Blinks abarcó miles de dispositivos, incluidos cientos que se encuentran en los EE. UU. Pero el miércoles, el Departamento de Justicia dijo que los investigadores del FBI habían desactivado los mecanismos C2 detrás de la botnet, neutralizando así la amenaza.

En documentos judiciales, el FBI dijo que comenzó a analizar el malware el año pasado y notó que se comunicaba con docenas de direcciones IP pertenecientes a dispositivos C2 que ejecutan la botnet. En enero, el FBI identificó uno de los dispositivos C2 en los EE. UU. y obtuvo la máquina con el consentimiento del propietario.

Esto ayudó a los agentes federales a desarrollar “un medio de suplantar” el panel de control del hacker para enviar comandos al malware. Luego, el FBI solicitó una orden judicial para enviar instrucciones al resto de los dispositivos C2 de la botnet para desinstalar el malware Cyclops Blink y también cambiar las reglas del firewall para bloquear el acceso futuro.

“Aparte de recopilar los números de serie de los dispositivos C2 subyacentes a través de un script automatizado y copiar el malware C2, no buscó ni recopiló otra información de las redes de víctimas relevantes”, dijo el Departamento de Justicia. “Además, la operación no involucró ninguna comunicación del FBI con dispositivos bot”.

Recomendado por Nuestros Editores

No es la primera vez que el FBI recurre a tales tácticas. El año pasado, el Departamento de Justicia anunció que había obtenido una orden judicial para eliminar los shells web maliciosos de cientos de computadoras vulnerables que ejecutan el software Microsoft Exchange Server.

La piratería autorizada por la corte esencialmente equivale a que el FBI parchee directamente los dispositivos vulnerables, en lugar de esperar a que los propietarios lo hagan ellos mismos. “Esta eliminación autorizada por la corte del malware desplegado por el GRU ruso demuestra el compromiso del departamento de interrumpir la piratería informática del estado-nación utilizando todas las herramientas legales a nuestra disposición”, dijo el fiscal general adjunto de EE. UU. Matthew Olsen en el anuncio del miércoles.

Sin embargo, el Departamento de Justicia dijo que la piratería autorizada por el tribunal solo detuvo la actividad maliciosa en los productos infectados que actuaban como dispositivos C2. “Los dispositivos WatchGuard y Asus que actuaron como bots pueden seguir siendo vulnerables a Sandworm (el grupo ruso de piratas informáticos GRU) si los propietarios de los dispositivos no siguen los pasos de detección y remediación recomendados por WatchGuard y Asus. El departamento recomienda encarecidamente a los defensores de la red y a los propietarios de dispositivos que revisen el aviso del 23 de febrero y los comunicados de WatchGuard y Asus”, agregó.

¿Te gusta lo que estás leyendo?

Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.

Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.

fbq('init', '454758778052139'); fbq('track', "PageView"); } }