El FBI se hace con el control del dominio asociado a una botnet rusa de grandes dimensiones

El FBI se ha hecho con el control de un dominio que está asociado a una botnet rusa compuesta por al menos 500.000 routers infectados y repartidos por todo el mundo (se calcula que está presente en 54 países). Esto será posible, según CNBC, gracias a la autorización que ha recibido dicha entidad de un juez federal de Pennsylvania, que le ha autorizado a hacerse con su control. Se cree que este dominio pertenece a un grupo de hackers rusos conocido como Sofacy, y se empleaba para controlar los dispositivos infectados.

Con esta orden, el dominio podrá utilizarse para dirigir los ataques que lleven a cabo los dispositivos a un servidor controlado por el FBI, que se utilizará para encontrar la ubicación de cada dispositivo. Así, se podrá enviar información a las autoridades de todo el mundo que cuenten con dispositivos infectados en su país, para contribuir a la eliminación del malware de los equipos infectados.

Al parecer, según varios investigadores de seguridad, los ciberdelincuentes que forman parte del grupo que controlaba hasta ahora el dominio tenía entre sus planes utilizar la botnet para atacar a Ucrania. Sofacy utiliza un malware conocido como VPN Filter para explotar las vulnerabilidades presentes en varios modelos de router de distintos fabricantes. Entre ellos, Linksys, MikroTik, Netgear, TP-Link y Qnap.

Según Engadget, el malware, cuando consigue infectar un dispositivo, informa de ello a una infraestructura. Para ello utiliza varias fotos que el grupo de hackers había subido a Photobucket (que ya las ha borrado), o la dirección web cuyo control ha conseguido el FBI. Cuando un router «informa» de que ha sido atacado, el sistema avisado instala diversos plugins en el aparato, que pueden utilizarse para robar credenciales de acceso o utilizar los ordenadores conectados a la red para atacar redes de control de sistemas industriales. Por ejemplo, de la infraestructura de la red eléctrica.

Al parecer, a partir de los datos recopilados por el FBI sobre esta botnet, el malware se tiene que volver a conectar a la infraestructura cada vez que se reinicia el router en el que está instalado. Por lo tanto, al hacerse con el control del dominio, el FBI conseguirá interceptar toda la operación de la red. La agencia podrá a partir de ahora ver las direcciones IP de usuarios cuyos routers están infectados.

Así, según el Director técnico de Symantec, Vikram Thakur, «podrán saber quién está infectado y quién es la víctima, y pasar los datos a los ISP locales. Algunos de los ISP tienen la capacidad de reiniciar el router de manera remota. El resto pueden ponerse en contacto con los usuarios para indicarles lo sucedido y pedirles que reinicien sus dispositivos«. También pueden desarrollar parches para corregir la vulnerabilidad que permitió el ataque.