FBI en alerta

El FBI anuncia por redes sociales que malware llamado VPNFilter ha sido detectado por análisis realizado por Talos, la división de detección de amenazas de la empresa tecnológica Cisco, en mas de 500 000 dispositivos de 54 paises pero se desconoce el alcance total, los dispositivos eran de fabricantes como Linksys, MikroTik, Netgear y TP-Link. 

Junio, 2018.

Bello, R.

La escala y la capacidad de esta operación son preocupantes. Este malware es significativamente peligroso ya que puede realizar múltiples funciones como registrar información de los usuarios a través de los routers, inutilizarlos, controlar dispositivos, bloquear el trafico web y explotar los dispositivos. 

El FBI logro frustrar los preparativos de un ataque. Una corte que autorizó al FBI a intervenir un sitio web (ToKnowAll.com) que los hackers planeaban para utilizar instrucciones a los routers. Los routers afectados se contactaban periódicamente con esa dirección para actualizar el VPNFilter. Al hacerse con el control del dominio, el FBI tiene la capacidad de localizar los dispositivos infectados y limpiarlos. A pesar de esto, los routers aún seguían infectados y la advertencia tenía el objetivo de limpiar esas máquinas.

Esto redirigirá los intentos del malware para reinfectar el dispositivo a un servidor controlado por el FBI, que capturará la dirección de los dispositivos infectados. El reiniciar los routers, como pidieron el FBI y Cisco, ayuda a que el malware "pida instrucciones" a su dominio (controlado ahora por el FBI).

 El Departamento de Justicia explicó que esta medida "maximiza las oportunidades de identificar y remediar la infección en todo el mundo antes de que Sofacy conozca la vulnerabilidad en su infraestructura".

El Departamento de Justicia dijo que los piratas informáticos involucrados estaban en un grupo llamado Sofacy, también conocido como APT28 y 'Fancy Bear', que respondía al Gobierno ruso. Este ha sido culpado de muchos de los hackeos rusos más dramáticos, incluido el del Comité Nacional Demócrata durante la campaña presidencial de 2016 en Estados Unidos además las autoridades estadounidenses realizaron una investigación que determinó que este virus tiene mucho que ver con el que provocó hace meses el colapso en miles de equipos en Ucrania (Black Energy). Los organismos rusos, por su parte, han negado cualquier implicación.

A este acontecimiento se le relaciona con el espionaje ruso entre otras cosas.

El FBI recomienda reiniciar los routers, desactivar la configuración de administración remota, descargarles las actualizaciones de los fabricantes para protegerlos y ponerles contraseñas más seguras. VPNFilter mantiene similitudes llamativas en su código con las versiones del malware BlackEnergy, responsable de los ataques a la red eléctrica de Ucrania en 2015. En una primera instancia Talos recomienda restablecer el router a modo de fábrica, para no dejar rastro alguno del malware en el equipo.

Supuestamente el ataque proviene de unos piratas informáticos rusos y, probablemente Ucrania, sitio de muchas infecciones recientes y campo de batalla de la guerra cibernética desde hace tiempo y lugar donde se jugó la final de la UEFA Champions League, era el objetivo.