Software militar de espionaje ruso presente en miles de enrutadores domésticos

En mayo pasado el Departamento de Justicia pidió a los ciudadanos de EU reiniciar sus enrutadores, pero aún faltan cosas por hacer.

El ejército ruso se encuentra dentro de cientos de miles de enrutadores propiedad de estadounidenses y de otras partes del mundo, dijo el viernes un alto funcionario de seguridad de Estados Unidos. La presencia de malware ruso en los enrutadores, revelada por especialistas en seguridad en redes informáticas desde mayo, podría permitir al gobierno ruso robar los datos de las personas o seleccionar sus dispositivos para un ataque masivo destinado a interrumpir actividades económicas mundiales y labores institucionales.

El 27 de mayo, funcionarios del Departamento de Justicia pidieron a los estadounidenses reiniciar sus enrutadores para detener el ataque. Después, el mundo se olvidó de eso; “olvidarlo fue un error, el malware ruso sigue ahí”, dijo Rob Joyce, asesor de la Agencia de Seguridad Nacional (NSA) y ex coordinador de seguridad cibernética de la Casa Blanca.

Acorde a reportes del Instituto Internacional de Seguridad Cibernética, el 8 de mayo pasado, expertos en seguridad en redes informáticas descubrieron un aumento en número de víctimas de un nuevo malware, principalmente en Ucrania. Denominado VPN Filter, el malware usa código similar a BlackEnergy, utilizado por las fuerzas rusas para atacar la infraestructura ucraniana. Agencias de inteligencia estadounidenses creen que los culpables podrían ser hackers conocidos como APT 28 o Fancy Bear, los operarios rusos detrás de los ataques contra el Comité Nacional Demócrata, el Departamento de Estado y otros. El nuevo malware, si está activado, podría permitir al ejército ruso observar las actividades en línea de cientos de miles de personas.

El malware se ejecuta en tres etapas, según el informe de los especialistas. La primera etapa consiste en cambiar la memoria persistente no volátil de los dispositivos infectados, la parte de la memoria que persiste incluso después de que la máquina se apaga. Durante esta fase, el malware también establece enlaces a cualquier servidor que encuentre.

Las etapas dos y tres consisten en recibir y ejecutar las órdenes del hacker. Estas pueden incluir robar datos de tráfico de la víctima, lanzar ataques “Man-in-the-Middle”, usar el enrutador como parte de una botnet, o sobrescribir la memoria en el enrutador para volverlo inútil.

“Lo que se necesita ahora, es que los profesionales del gobierno, la industria y la seguridad en redes informáticas encuentren la manera de decirle directamente a las personas cómo detectar la presencia del malware en sus enrutadores y luego restaurar el dispositivo a un estado confiable”, mencionó el asesor de seguridad.

Finalmente, al igual que otros expertos en seguridad en redes informáticas, Joyce considera que es probable que continúen las acciones maliciosas de gobiernos como el de Corea del Norte sobre las instituciones financieras de otros países, en particular las bolsas de criptomoneda establecidas en Corea del Sur.

(Visitado 1170 veces)