La operación copió y eliminó el malware conocido como “Cyclops Blink” de los dispositivos de comando y control de la botnet, interrumpiendo el control de la GRU sobre miles de dispositivos infectados en todo el mundo. Las víctimas deben tomar medidas adicionales para remediar la vulnerabilidad y evitar que los actores malintencionados sigan explotando los dispositivos sin parches.
Antilavadodedinero / Justice.gov
El Departamento de Justicia anunció hoy una operación autorizada por un tribunal, realizada en marzo de 2022, para interrumpir una botnet global de dos niveles de miles de dispositivos de hardware de red infectados bajo el control de un actor de amenazas conocido por los investigadores de seguridad como Sandworm, que el gobierno de EE. UU. previamente atribuido a la Dirección Principal de Inteligencia del Estado Mayor General de las Fuerzas Armadas de la Federación Rusa (el GRU). La operación copió y eliminó el malware de los dispositivos de firewall vulnerables conectados a Internet que Sandworm usó para el comando y control (C2) de la red de bots subyacente. Aunque la operación no implicó el acceso al malware Sandworm en los miles de dispositivos víctimas subyacentes en todo el mundo, denominados “bots”, la desactivación del mecanismo C2 separó a esos bots del control de los dispositivos Sandworm C2.
“Esta eliminación autorizada por la corte del malware desplegado por el GRU ruso demuestra el compromiso del departamento de interrumpir la piratería informática del estado-nación utilizando todas las herramientas legales a nuestra disposición”, dijo el Fiscal General Adjunto Matthew G. Olsen de la División de Seguridad Nacional del Departamento de Justicia. “Al trabajar en estrecha colaboración con WatchGuard y otras agencias gubernamentales en este país y el Reino Unido para analizar el malware y desarrollar herramientas de detección y remediación, estamos mostrando juntos la fortaleza que la asociación público-privada aporta a la seguridad cibernética de nuestro país. El departamento sigue comprometido a confrontar e interrumpir la piratería informática del estado-nación, en cualquier forma que tome”.
“A través de una estrecha colaboración con WatchGuard y nuestros socios encargados de hacer cumplir la ley, identificamos, interrumpimos y expusimos otro ejemplo más del pirateo de víctimas inocentes por parte de la GRU rusa en los Estados Unidos y en todo el mundo”, dijo la fiscal federal Cindy K. Chung para el Distrito Oeste. de Pensilvania. “Tales actividades no solo son criminales sino que también amenazan la seguridad nacional de los Estados Unidos y sus aliados. Mi oficina sigue comprometida a trabajar con nuestros socios en la División de Seguridad Nacional, el FBI, las agencias de aplicación de la ley extranjeras y el sector privado para defender y mantener la seguridad cibernética de nuestra nación”.
“Esta operación es un ejemplo del compromiso del FBI para combatir las amenazas cibernéticas a través de nuestras autoridades, capacidades y coordinación únicas con nuestros socios”, dijo el subdirector Bryan Vorndran de la División Cibernética del FBI. “Como la principal agencia nacional de inteligencia y aplicación de la ley, continuaremos persiguiendo a los actores cibernéticos que amenazan la seguridad nacional y la seguridad pública del pueblo estadounidense, nuestros socios del sector privado y nuestros socios internacionales”.
“El FBI se enorgullece de trabajar en estrecha colaboración con nuestros socios del sector privado y del orden público para exponer a los delincuentes que se esconden detrás de su computadora y lanzan ataques que amenazan la seguridad y la confianza de los estadounidenses en nuestro mundo conectado digitalmente”, dijo el agente especial a cargo Mike Nordwall. de la Oficina de Campo de Pittsburgh del FBI. “El FBI tiene un compromiso inquebrantable de combatir e interrumpir los esfuerzos de Rusia para afianzarse dentro de las redes de Estados Unidos y sus aliados”.
El 23 de febrero, el Centro Nacional de Seguridad Cibernética del Reino Unido, la Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional, el FBI y la Agencia de Seguridad Nacional publicaron un aviso que identifica el malware Cyclops Blink, que apunta a dispositivos de red fabricados por WatchGuard Technologies Inc. (WatchGuard) y ASUSTek Computer Inc. (ASUS). Estos dispositivos de red a menudo se ubican en el perímetro de la red informática de la víctima, lo que proporciona a Sandworm la capacidad potencial de realizar actividades maliciosas contra todas las computadoras dentro de esas redes. Como se explica en el aviso, el malware parecía haber surgido ya en junio de 2019 y era el aparente sucesor de otra red de bots Sandworm llamada VPNFilter, que el Departamento de Justicia interrumpido a través de una operación autorizada por la corte en 2018.
El mismo día del aviso, WatchGuard lanzó herramientas de detección y remediación para usuarios de dispositivos WatchGuard. Tanto el aviso como la guía de WatchGuard recomendaron que los propietarios de dispositivos implementen las herramientas de WatchGuard para eliminar cualquier infección de malware y parchear sus dispositivos con las últimas versiones de firmware disponibles. Más tarde, ASUS lanzó su propia guía . para ayudar a los propietarios de dispositivos ASUS comprometidos a mitigar la amenaza que representa el malware Cyclops Blink. Los esfuerzos de los sectores público y privado fueron efectivos y dieron como resultado la reparación exitosa de miles de dispositivos comprometidos. Sin embargo, a mediados de marzo, la mayoría de los dispositivos originalmente comprometidos seguían infectados.
Luego de la autorización judicial inicial el 18 de marzo, la operación del departamento logró copiar y eliminar el malware de todos los dispositivos C2 restantes identificados. También cerró los puertos de administración externos que Sandworm estaba usando para acceder a esos dispositivos C2, como se recomienda en la guía de remediación de WatchGuard (un cambio no persistente que el propietario de un dispositivo afectado puede revertir mediante un reinicio del dispositivo). Estos pasos tuvieron el efecto inmediato de evitar que Sandworm accediera a estos dispositivos C2, lo que interrumpió el control de Sandworm sobre los dispositivos bot infectados controlados por los dispositivos C2 remediados. Sin embargo, los dispositivos WatchGuard y ASUS que actuaron como bots pueden seguir siendo vulnerables a Sandworm si los propietarios de los dispositivos no siguen los pasos de detección y reparación recomendados por WatchGuard y ASUS.
La operación anunciada hoy aprovechó las comunicaciones directas con el malware Sandworm en los dispositivos C2 identificados y, además de recopilar los números de serie de los dispositivos C2 subyacentes a través de un script automatizado y copiar el malware C2, no buscó ni recopiló otra información de los dispositivos relevantes. redes de víctimas. Además, la operación no involucró ninguna comunicación del FBI con dispositivos bot.
Desde antes del aviso del 23 de febrero, el FBI ha estado intentando notificar a los propietarios de dispositivos WatchGuard infectados en los Estados Unidos y, a través de socios extranjeros encargados de hacer cumplir la ley, en el extranjero. Para aquellas víctimas domésticas cuya información de contacto no estaba disponible públicamente, el FBI se ha comunicado con los proveedores (como el proveedor de servicios de Internet de la víctima) y les ha pedido que notifiquen a las víctimas. Según lo exigen los términos de la autorización judicial, el FBI ha notificado a los propietarios de los dispositivos C2 domésticos de los que el FBI copió y eliminó el malware Cyclops Blink.
Los esfuerzos para interrumpir la botnet Cyclops Blink fueron liderados por las oficinas de campo del FBI en Pittsburgh, Atlanta y Oklahoma City, la División Cibernética del FBI, la Sección de Control de Exportaciones y Contrainteligencia de la División de Seguridad Nacional y la Oficina del Fiscal Federal para el Distrito Oeste de Pensilvania. También brindaron asistencia la Sección de Delitos Informáticos y Propiedad Intelectual de la División Criminal y la Oficina de Asuntos Internacionales, así como la Oficina del Fiscal Federal para el Distrito Este de California.
Si cree que tiene un dispositivo comprometido, comuníquese con su oficina local del FBI para obtener ayuda. El FBI continúa realizando una investigación exhaustiva y metódica sobre este incidente cibernético.
