Autoridades de E.U. anunciaron la clausura de la botnet Cyclops Blink, administrada por el grupo de hacking Sandworm, presuntamente financiada por el gobierno de Rusia. El malware utilizado por este grupo se enfoca principalmente en enrutadores ASUS y firewalls WatchGuard Firebox.
Los investigadores mencionan que Cyclops Blink permitía a los actores de amenazas ganar persistencia en los dispositivos afectados a través de actualizaciones de firmware, proporcionando acceso remoto a las redes afectadas. El malware de la botnet es modular, lo que facilita la actualización para infectar nuevos dispositivos y acceder a nuevos grupos de hardware vulnerable.
El fiscal general de E.U. Merrick Garland ha atribuido esta actividad a la agencia de inteligencia militar rusa, conocida como GRU: “El gobierno ruso ha utilizado una infraestructura similar para atacar a sus objetivos en Ucrania. Pudimos interrumpir esta botnet antes de que pudiera usarse de forma masiva gracias a nuestro trabajo con agencias internacionales”.
Este trabajo de investigación permitió eliminar el malware de todos los dispositivos Watchguard identificados como servidores C&C. Por su parte, el Buró Federal de Investigaciones (FBI) notificó a los propietarios de dispositivos comprometidos en Estados Unidos y otras regiones del mundo.
Chris Wray, director del FBI, menciona que la botnet fue clausurada luego de una estrecha cooperación con Watchguard mientras analizaba el malware y desarrollaba herramientas de detección del compromiso: “A medida que avanzamos, cualquier dispositivo Firebox que actuó como bot puede seguir siendo vulnerable en el futuro hasta que sus propietarios mitiguen las fallas. Por lo tanto, esos propietarios aún deben seguir adelante y adoptar los pasos de detección y remediación recomendados por el fabricante”.
Sandworm y el gobierno ruso
También conocido como Voodoo Bear, BlackEnergy y TeleBots, este grupo de hacking ha estado activo desde hace más de 15 años y se cree que está integrado por hackers con preparación militar, los cuales forman parte de Unit 74455, parte del Centro de Tecnologías Especiales del GRU.
Entre 2015 y 2016, los hackers de Sandworm fueron relacionados con el malware BlackEnergy, herramienta responsable de los apagones masivos en Ucrania. Otras herramientas disruptivas presuntamente vinculadas a Sandworm son KillDisk y NotPetya, variantes de malware que causaron millones de dólares en pérdidas hace años.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
