Los piratas informáticos rusos de Sandworm han creado una botnet de cortafuegos

0


Cualquier aspecto de Una nueva herramienta utilizada por los notorios y disruptivos piratas informáticos rusos de Sandworm llamará la atención de los profesionales de la ciberseguridad preparados para ataques cibernéticos de alto impacto. Cuando las agencias estadounidenses y británicas advierten que una de estas herramientas está siendo detectada en la naturaleza justo cuando Rusia se prepara para una posible invasión a gran escala de Ucrania, es suficiente para hacer sonar las alarmas.

El miércoles, tanto el Centro Nacional de Ciberseguridad del Reino Unido como la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. emitieron advertencias de que ellos, junto con el FBI y la NSA, detectaron una nueva forma de malware para dispositivos de red utilizado por Sandworm, un grupo vinculado a algunos de los más ataques cibernéticos destructivos en la historia y se cree que son parte de la agencia de inteligencia militar rusa GRU.

El nuevo malware, que las agencias llaman Cyclops Blink, se ha encontrado en dispositivos de firewall vendidos por la empresa de hardware de red Watchguard desde al menos junio de 2019. Pero el NCSC advierte que «es probable que Sandworm pueda compilar el malware para otras arquitecturas y firmware». «, que puede haber infectado ya otros enrutadores de red comunes utilizados en hogares y empresas y que» la implementación de malware también parece indiscriminada y generalizada «.

No está claro si Sandworm pirateó dispositivos de red con fines de espionaje, al construir su red de máquinas pirateadas para usarlas como infraestructura de comunicaciones para operaciones futuras, o al apuntar a las redes para ataques cibernéticos disruptivos, dice Joe Slowik, investigador de seguridad de Gigamon y rastreador desde hace mucho tiempo. del grupo de los gusanos de arena. Pero dado que la historia pasada de Sandworm de infligir caos digital incluye la destrucción de redes enteras dentro de las empresas y agencias gubernamentales ucranianas, provocando apagones dirigidos a los servicios de electricidad en Ucrania y el lanzamiento del malware NotPetya que se ha extendido globalmente y cuesta $ 10 mil millones en daños, Slowik también dice que el movimiento ambiguo de los piratas informáticos merece precaución, especialmente cuando se avecina otra invasión rusa de Ucrania.

«Definitivamente parece que Sandworm ha seguido el camino de comprometer redes relativamente grandes de estos dispositivos para propósitos desconocidos», dice Slowik. «Hay una serie de opciones disponibles para ellos, y dado que esto es Sandworm, algunas de estas opciones podrían ser preocupantes y sangrar para negar, degradar, interrumpir y potencialmente destruir, aunque todavía no hay evidencia».

CISA y NCSC describen el malware Cyclops Blink como el sucesor de una herramienta Sandworm anterior conocida como VPNFilter, que infectó a medio millón de enrutadores para formar una botnet global antes de que Cisco y el FBI lo identificaran en 2018 y lo desmantelaran en gran medida. No hay señales de que Sandworm se haya apoderado de tantos dispositivos con Cyclops Blink. Pero al igual que VPNFilter, el nuevo malware actúa como un punto de apoyo en los dispositivos de red y permitiría a los piratas informáticos descargar nuevas funciones en las máquinas infectadas, ya sea para incorporarlas como servidores proxy para transmitir comunicaciones de comando y control o para apuntar a las redes en las que están instalados los dispositivos.

En su propio análisis del malware, Watchguard escribe que los piratas informáticos pudieron infectar sus dispositivos a través de una vulnerabilidad que corrigió en una actualización de mayo de 2021, que incluso antes habría ofrecido una apertura solo cuando una interfaz de control de los dispositivos había sido expuesta a La Internet. Los piratas informáticos también parecen haber utilizado una vulnerabilidad en la forma en que los dispositivos Watchguard verifican la legitimidad de las actualizaciones de firmware descargando su propio firmware en los dispositivos de firewall e instalándolo para que su malware pueda sobrevivir a los reinicios. Watchguard estima que alrededor del 1% del número total de firewalls instalados estaban infectados, aunque no proporcionó un número total de cuántos dispositivos representaban. Watchguard también ha lanzado herramientas para detectar infecciones en sus firewalls y, si es necesario, eliminar y reinstalar su software.

También podría gustarte
Deja una respuesta

Su dirección de correo electrónico no será publicada.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More