El FBI toma el control del botnet VPN Filter de APT28
El FBI ha obtenido órdenes judiciales y ha tomado el control de los servidores de comando y control de una botnet masiva de más de 500,000 dispositivos conocida como la botnet VPNFilter.
La existencia de esta amenaza masiva salió a la luz el 23 de mayo cuando Cisco Talos publicó un informe sobre VPNFilter infectando más de 500,000 enrutadores y dispositivos NAS en todo el mundo.
APT28 está detrás de VPNFilter segun el FBI
Cisco dijo que la botnet parecía estar preparándose para un ataque contra Ucrania, ya que los operadores de la botnet estaban trabajando arduamente para infectar tantos dispositivos como fuera posible dentro del país.
El Servicio Secreto de Ucrania cree que el ataque se suponía que tendría lugar el sábado cuando la capital ucraniana de Kiev será la sede de la final de fútbol de la UEFA Champions League.
El FBI confirmó que la botnet ha sido creada y estaba bajo el control de una famosa unidad cibernética de espionaje conocida bajo diferentes nombres, como APT28, Sednit, Fancy Bear, Pawn Storm, Sofacy, Grizzly Steppe, STRONTIUM, Tsar Team y otros.
Un informe elaborado por el Servicio de Inteligencia Extranjera de Estonia afirma que APT28 es una unidad de la Dirección Principal de Inteligencia del ejército ruso (abreviado GRU).
Este grupo ha estado detrás de varios ciberataques dirigidos a Ucrania en el pasado, como el brote de NotPetya ransomware y los ataques de BlackEnergy en la red eléctrica de Ucrania en 2015 y 2016.
El FBI toma el control del dominio C & C de VPNFilter
Los expertos en seguridad consideraron que la botnet VPFilter era increíblemente peligrosa, no solo porque era el trabajo de un grupo cibernético nacional con nefastas razones, sino porque también incluía funciones para interceptar el tráfico de red, buscar equipos SCADA y borrar firmware para dispositivos de ladrillos temporales.
Con capacidades tan poderosas y con dispositivos infectados en todo el mundo, las autoridades de los EEUU intervinieron para evitar un mayor daño por esta amenaza.
Horas después de la publicación del informe de Cisco, el FBI había obtenido una orden judicial basada en una declaración jurada presentada para tomar el control del dominio toknowall.com, la URL donde los bots de VPNFilter se conectarían para obtener sus comandos y módulos adicionales.
El FBI pide a los usuarios que restablezcan los dispositivos para obtener una lista de las víctimas
Con el dominio firmemente a su alcance, el FBI está pidiendo a usuarios de todo el mundo que posean enrutadores y dispositivos NAS afectados que reinicien sus equipos.
El razonamiento, de acuerdo con el FBI, es hacer que estos dispositivos vuelvan a conectarse con el servidor de comando y control, dando al FBI una idea completa del tamaño real de la botnet.
El FBI planea usar este conocimiento para crear una lista de dispositivos vulnerables y notificar a los ISP, socios del sector público y privado que puedan tratar con los dispositivos infectados.
Los propietarios de los siguientes tipos de dispositivos son vulnerables al malware VPNFilter y deben reiniciar sus dispositivos, según los consejos del FBI: Linksys E1200, Linksys E2500, Linksys WRVS4400N, Mikrotik RouterOS para Cloud Core Routers: versiones 1016, 1036 y 1072, Netgear DGN2200, Netgear R6400, Netgear R7000, Netgear R8000, Netgear WNR1000, Netgear WNR2000, QNAP TS251, QNAP TS439 Pro