El gobierno de Estados Unidos informó recientemente que desmanteló una botnet que supuestamente pertenecía al GRU de Rusia. Las autoridades creen que el servicio de inteligencia usó la botnet para operaciones maliciosas, incluidas algunas como: ataques de phishing, así como recolección de credenciales, espionaje y robo de datos contra objetivos estratégicos y gobiernos extranjeros. ¡Más detalles de esta botnet a continuación!
Desmantelan una Botnet que aparentemente pertenecía al GRU de Rusia
Es crucial dar a conocer que, el desmantelamiento de la botnet fue parte de una operación legalmente sancionada en el mes de enero que derribó más de 1.000 enrutadores domésticos y de pequeñas empresas, todos comprometidos por el malware Moobot.
Según el director del FBI, Christopher Wray, Moobot viene siendo una variante del malware Mirai, conocido por su capacidad de zombificar dispositivos Linux, convirtiéndolos en bots controlados de forma remota, integrándolos en botnets y usándolos en ataques de red a gran escala.
Es de resaltar que al igual que el malware que lo inspiró, Moobot permite a los ciberdelincuentes administrar de manera remota los dispositivos infectados y utilizarlos para ataques dirigidos contra víctimas elegidas.
Botnet se distingue de las anteriores redes maliciosas controladas por GRU
Sin embargo, la botnet recientemente desmantelada se distingue de las anteriores redes maliciosas maniobradas por el GRU y el Servicio Federal de Seguridad de Rusia (FSB). En vez de crearlo desde cero, el GRU aprovechó Moobot, un malware vinculado a un conocido sindicato de delitos cibernéticos, como base para sus actividades maliciosas.
El Departamento de Justicia de EE. UU. mencionó en un comunicado de prensa, “Los ciberdelincuentes que no pertenecen a GRU instalaron el malware Moobot en enrutadores con sistema operativo Ubiquiti Edge que todavía usaban contraseñas de administrador predeterminadas conocidas públicamente. Los piratas informáticos de GRU luego utilizaron el malware Moobot para instalar sus propios scripts y archivos personalizados que reutilizaron la botnet, convirtiéndola en una plataforma global de ciberespionaje”.
Los actores de amenazas usaron las capacidades dañinas del bot para delitos cibernéticos como campañas de phishing y recolección de credenciales contra objetivos estratégicos como los Estados Unidos y gobiernos extranjeros y así mismo, organizaciones corporativas y de seguridad.
Según el Departamento de Justicia, las autoridades ordenaron a Moobot que “copiara y eliminara datos y archivos robados y maliciosos de los enrutadores comprometidos”.
Alteraron la configuración del firewall de los enrutadores para bloquear el acceso remoto, dificultando la capacidad del GRU para llegar a los dispositivos hasta que los propietarios legítimos pudieran retomar el control de forma segura. Igualmente establecieron una medida temporal para recopilar datos de enrutamiento sin contenido de los dispositivos afectados, con el objetivo de exponer cualquier esfuerzo de GRU para interferir con la operación.
Las botnets no son una broma, pero se pueden mantener a raya
Es necesario tener presente que no se deben subestimar las amenazas que plantean las botnets: sirven como una fuerza destructiva en el panorama de amenazas, y su poder aumenta con cada dispositivo que se une a las filas de esta horda digital de sistemas comprometidos.
Tener su dispositivo incorporado a una botnet podría significar un verdadero desastre. Permite a los actores de amenazas tomar el control remoto de su sistema, colocando en peligro sus datos, documentos y activos físicos y digitales. Además, su dispositivo podría verse involucrado en complejas actividades cibercriminales sin su consentimiento o sin su conocimiento.