Agentes policiales estadounidenses han revelado su éxito al cerrar una botnet maliciosa utilizada por los notorios piratas informáticos Fancy Bear.
El Departamento de Justicia de Estados Unidos (DoJ) dijo en un presione soltar sus agentes llevaron a cabo una “operación autorizada por el tribunal” que neutralizó una red de “cientos de enrutadores de pequeñas oficinas/oficinas domésticas (SOHO)”.
Como explicó el Departamento de Justicia, la mayoría de los enrutadores Ubiquiti Edge OS utilizados en la botnet estaban previamente infectados por malware llamado Moobot, que fue desarrollado por un grupo de hackers privado. Este grupo apuntó a enrutadores con configuraciones de fábrica y contraseñas fáciles de adivinar para instalar el malware. Luego, APT 28 se abalanzó y se hizo cargo del malware, convirtiendo los dispositivos infectados en una “plataforma global de ciberespionaje”.
Usar malware para destruir malware
Para los no iniciados, Fancy Bear también es conocido como Sofancy y APT 28, y es un actor de amenazas patrocinado por el estado ruso bajo el mando directo de la Dirección Principal de Inteligencia del Estado Mayor (GRU) de la Federación Rusa.
La botnet se utilizó, explicó además el Departamento de Justicia, para una amplia variedad de actividades cibercriminales, incluidas campañas contra Ucrania, que son parte del esfuerzo bélico de Rusia contra su vecino del sudoeste.
Dado que la mayoría de los enrutadores infectados estaban ubicados en los Estados Unidos, parecía como si los estadounidenses estuvieran apuntando a la infraestructura ucraniana con ataques distribuidos de denegación de servicio, phishing y más.
Para acabar con la botnet, los agentes del Departamento de Justicia utilizaron el malware Moobot para copiar y eliminar datos y archivos robados y maliciosos de los enrutadores comprometidos.
“Además, para neutralizar el acceso del GRU a los enrutadores hasta que las víctimas puedan mitigar el compromiso y reafirmar el control total, la operación modificó reversiblemente las reglas de firewall de los enrutadores para bloquear el acceso de administración remota a los dispositivos, y durante el curso de la operación, permitió la recopilación temporal de información de enrutamiento sin contenido que expondría los intentos de GRU de frustrar la operación”, explicó el Departamento de Justicia.
La acción no afectó la funcionalidad normal de los enrutadores ni recopiló información de contenido legítimo del usuario. Además, los usuarios pueden revertir los cambios en las reglas del firewall y restablecer los valores de fábrica de sus dispositivos, después de lo cual sería prudente cambiar las contraseñas por algo más difícil de romper.