El gobierno de los Estados Unidos ha tomado medidas para neutralizar un botnet compuesto por cientos de routers SOHO comprometidos, ubicados en Estados Unidos, que habían sido secuestrados por el actor patrocinado por el estado chino Volt Typhoon. Esta campaña de hacking representaba un riesgo importante para la seguridad del país.
El KV-botnet, apodado por el equipo de Black Lotus Labs de Lumen Technologies, estaba compuesto en su mayoría por routers de Cisco y NetGear que ya habían alcanzado el estado de «fin de vida», lo que significa que ya no contaban con el apoyo de parches de seguridad ni actualizaciones de software por parte de sus fabricantes.
Vale destacar que Volt Typhoon, también conocido como DEV-0391, Bronze Silhouette, Insidious Taurus o Vanguard Panda, es un colectivo adversario chino responsable de ataques a sectores de la infraestructura crítica en EE.UU. y Guam, lo que ha generado una gran preocupación en las autoridades de seguridad del país.
El botnet ha sido responsable de comprometer hasta el 30% de los routers Cisco RV320/325 fuera de vida útil en un período de 37 días, desde diciembre de 2023 hasta enero de 2024, según un informe de la empresa de ciberseguridad SecurityScorecard.
El KV-botnet actúa como una red de transferencia de datos encubierta para actores de amenazas persistentes avanzados, utilizando routers de Cisco, DrayTek, Fortinet y NetGear como dispositivos comprometidos que les permiten ocultar su verdadera ubicación.
Para interrumpir el botnet, la Oficina Federal de Investigación (FBI) dio comandos para apuntar a routers en EE. UU. y eliminar la carga útil de KV-botnet y evitar su reinfección. El DOJ también tomó medidas adicionales para cortar la conexión del botnet.
Las medidas preventivas empleadas para eliminar los routers son temporales y no pueden resistir un reinicio, lo que deja los dispositivos expuestos a la reinfección.
La vulneración de dispositivos periféricos como los routers para su uso en los ataques persistentes avanzados llevados a cabo por naciones como Rusia y China es un problema creciente. CISA ha instado a los fabricantes de dispositivos SOHO adoptar un enfoque de «seguridad desde el diseño» durante el desarrollo y a desplazar la carga de trabajo de los clientes para prevenir futuros incidentes relacionados con dispositivos heredados que ya no reciben parches de seguridad ni admiten soluciones de detección y respuesta de punto final (EDR).
Es importante tener en cuenta que la falta de prácticas seguras desde el diseño puede llevar a dañar a clientes y, en este caso, a la infraestructura crítica de un país, según CISA.
Vía The Hacker News
