Rusia podría estar preparándose para otro ciberataque masivo en Ucrania usando una botnet de al menos 500,000 enrutadores comprometidos y dispositivos de almacenamiento conectados a la red (NAS), informó el grupo de inteligencia de amenazas Talos de Cisco el miércoles.
La botnet está impulsada por una pieza sofisticada de malware que los investigadores han denominado VPNFilter en función de los nombres de algunas carpetas creadas por la amenaza. Talos ha trabajado con varias otras firmas de seguridad cibernética y agencias de aplicación de la ley para investigar VPNFilter . Mientras la investigación está en curso, se ha publicado un informe inicial debido a la preocupación de que un ataque que involucre a la botnet pueda ser inminente.
Los investigadores creen que un agente de amenaza patrocinado por el estado o afiliado al estado probablemente esté detrás del ataque y Rusia ha sido nombrada el principal sospechoso debido a la superposición de códigos con el malware BlackEnergy, que muchos atribuyeron al Kremlin.
Se han observado más de 500,000 dispositivos pirateados en 54 países, pero se han detectado muchas infecciones en Ucrania y su número continúa en aumento. El malware ha comprometido los dispositivos fabricados por Linksys, MikroTik, Netgear, TP-Link y QNAP, y aunque los expertos aún no han identificado el vector de ataque, confían en que no están involucradas vulnerabilidades de día cero.
VPNFilter es una pieza de malware modular que tiene una amplia gama de capacidades. Puede interceptar los datos que pasan a través del dispositivo comprometido, incluidas las credenciales del sitio web, y puede monitorear la red para las comunicaciones a través del protocolo Modbus SCADA. El malware, que usa Tor para comunicarse con un panel de control, también tiene capacidades destructivas que pueden aprovecharse para inutilizar un dispositivo infectado.
«La capacidad destructiva particularmente nos concierne. Esto muestra que el actor está dispuesto a quemar los dispositivos de los usuarios para ocultar sus pistas, yendo mucho más allá de simplemente eliminar rastros del malware. Si se adaptara a sus objetivos, este comando podría ejecutarse a gran escala, inutilizando cientos de miles de dispositivos, inhabilitando el acceso a Internet para cientos de miles de víctimas en todo el mundo o en una región enfocada donde se adapta a los propósitos del actor «, dijo Talos en su informe .
Los investigadores están preocupados de que VPNFilter pueda usarse para otro ataque masivo contra Ucrania no solo por la gran cantidad de infecciones y una infraestructura separada de comando y control (C & C) para dispositivos en este país, sino también porque solo quedan unas pocas semanas hasta que Ucrania celebra su Día de la Constitución.
El año pasado, el ataque con el limpiaparabrisas NotPetya se lanzó la víspera del Día de la Constitución de Ucrania. NotPetya ha sido oficialmente atribuido a Rusia por los EE. UU. Y otros países, y los investigadores también han vinculado el malware a BlackEnergy.
El hecho de que el malware monitorea las comunicaciones Modbus, que normalmente se utilizan para los sistemas de control de supervisión y adquisición de datos (SCADA), sugiere que el atacante también podría estar apuntando a los sistemas de control industrial (ICS).
Se sabe que los grupos de amenazas que se cree que trabajan para el gobierno ruso lanzan ataques contra ICS, incluido el sector energético de Ucrania en diciembre de 2016, utilizando un malware identificado como Industroyer y CRASHOVERRIDE . Hay varios otros actores vinculados con Rusia que se han enfocado en sistemas industriales , incluidos Dragonfly y Dymalloy.
«VPNFilter es una amenaza expansiva, robusta, altamente capaz y peligrosa que se dirige a dispositivos que son difíciles de defender. Su marco altamente modular permite cambios rápidos en la infraestructura operativa del actor, cumpliendo sus objetivos de atribución errónea, recopilación de inteligencia y búsqueda de una plataforma para realizar ataques «, dijo Talos.
Fuente: Securityweek.com
