El FBI de EE.UU. desmantela una red de bots rusa GRU construida sobre más de 1.000 routers domésticos de pequeñas empresas
El Gobierno de Estados Unidos afirma haber desmantelado una red de bots utilizada por la unidad de inteligencia militar rusa GRU para llevar a cabo expediciones de phishing, espionaje, recogida de credenciales y robo de datos contra gobiernos estadounidenses y extranjeros y otros objetivos estratégicos, informa The Register.
La incautación más reciente ordenada por un tribunal tuvo lugar en enero e implicó la neutralización de “más de mil” routers domésticos y de pequeñas empresas que estaban infectados con el malware Moobot, una variante de Mirai, según el director del FBI, Christopher Wray, en su intervención del jueves en la Conferencia de Ciberseguridad de Múnich. Moobot puede utilizarse para controlar remotamente dispositivos comprometidos y lanzar ataques contra redes.
Ciberdelincuentes ajenos a la GRU instalaron Moobot en routers Ubiquiti Edge OS utilizando contraseñas de administrador predeterminadas conocidas públicamente. El equipo de espionaje GRU (conocido como APT 28, Forest Blizzard y Fancy Bear) utilizó entonces Moobot para instalar sus propios scripts y archivos que reutilizaban la red de bots, “convirtiéndola así en una plataforma global de ciberespionaje”, según los federales.
“Losservicios de inteligencia rusos recurrieron a grupos delictivos para que les ayudaran a atacar routers domésticos y de oficinas, pero el Departamento de Justicia bloqueó su plan“, declaró el Fiscal General de Estados Unidos, Merrick Garland. “Seguiremos desbaratando y destruyendo las herramientas cibernéticas maliciosas del gobierno ruso que amenazan la seguridad de Estados Unidos y de nuestros aliados“.
La botnet se dirigía a organizaciones de interés para el Gobierno ruso, incluidos Estados Unidos y otros gobiernos, así como organizaciones militares, de seguridad y empresariales. En diciembre, Microsoft dijo que el equipo de Fancy Bear había utilizado dos fallos parcheados previamente para lanzar campañas de phishing a gran escala contra objetivos de alto perfil, como agencias gubernamentales, de defensa y aeroespaciales de Estados Unidos y Europa, aunque no dijo si la botnet se utilizó en estos ataques.
A principios de esta semana, se informó de que agentes del Kremlin fueron sorprendidos abusando de modelos de OpenAI para crear correos electrónicos de phishing y scripts de malware.
Según los fiscales estadounidenses, los federales pudieron ordenar a la red de bots Moobot que copiara y borrara los archivos maliciosos, incluido el propio malware, así como cualquier dato robado en los routers pirateados, probablemente de forma similar a lo que hizo el Departamento de Justicia durante el reciente desmantelamiento de la red de bots Volt Typhoon KV.
El FBI informó[PDF] de que el desmantelamiento de la red Moobot también incluyó la modificación de las reglas del cortafuegos del router para bloquear el acceso al control remoto de los dispositivos, lo que impidió nuevos robos, y “permitió la recopilación temporal de información de enrutamiento no polémica que habría dejado al descubierto los intentos del GRU de interrumpir” la operación.
En otras palabras, el Tío Sam fue capaz de impedir que Rusia utilizara la botnet, escribe la fuente, bloqueando el acceso al control remoto, limpiando el malware de los routers e inspeccionando el trabajo del Kremlin en los equipos infectados. Al parecer, todo esto se hizo con el consentimiento de los propietarios de los equipos infectados.
Además, según los federales, los usuarios pueden deshacer los cambios en las reglas del cortafuegos del Tío Sam mediante un restablecimiento de fábrica o a través de la interfaz web del router, aunque hay que recordar que los restablecimientos dejan los dispositivos potencialmente abiertos de nuevo al secuestro a menos que se cambie la contraseña de administrador por defecto.
“Un restablecimiento de fábrica que no vaya acompañado de un cambio de la contraseña de administrador por defecto devolverá el router a sus credenciales de administrador por defecto, dejándolo abierto a reinfecciones o compromisos similares“, advirtió el Departamento de Justicia estadounidense.
Es la segunda vez en los últimos meses que el FBI afirma haber descubierto una red de bots financiada por todo un Estado. El primero, anunciado en enero, pertenecía a la empresa china Volt Typhoon, que utilizó indebidamente cientos de dispositivos obsoletos de Cisco y Netgear para infiltrarse en instalaciones energéticas, redes de emergencia y otras infraestructuras críticas de Estados Unidos.
Sin embargo, como dijo John Hultquist, analista jefe de Google Mandiant Intelligence, a The Register, es probable que el equipo respaldado por el Kremlin “vuelva pronto con un nuevo esquema” debido a las próximas elecciones, en las que los rusos quieren influir debido a la guerra con Ucrania.
Se cree que Fancy Bear está detrás de la interferencia en los ordenadores del Partido Demócrata estadounidense durante las presidenciales de 2016, y desde entonces han seguido intentando perturbar las elecciones.
Se cree que si Donald Trump gana las elecciones presidenciales estadounidenses, retirará totalmente la ayuda militar y financiera a Ucrania y no proporcionará ayuda de la OTAN a los países europeos si Rusia ataca a la UE. En otras palabras, Putin apuesta a que si Trump gana, “entregará” Ucrania y Europa en su conjunto a Rusia.
