{"id":2676,"date":"2024-09-23T17:21:20","date_gmt":"2024-09-23T22:21:20","guid":{"rendered":"https:\/\/zidrave.net\/?p=2676"},"modified":"2024-09-23T17:21:20","modified_gmt":"2024-09-23T22:21:20","slug":"el-fbi-cierra-una-enorme-botnet-de-enrutadores-domesticos-camaras-web-y-dispositivos-nas","status":"publish","type":"post","link":"https:\/\/zidrave.net\/index.php\/2024\/09\/23\/el-fbi-cierra-una-enorme-botnet-de-enrutadores-domesticos-camaras-web-y-dispositivos-nas\/","title":{"rendered":"El FBI cierra una enorme botnet de enrutadores dom\u00e9sticos, c\u00e1maras web y dispositivos NAS"},"content":{"rendered":"\n

Alrededor de 1,2 millones de dispositivos IoT formaban parte de una botnet en todo el mundo, una d\u00e9cima parte de ellos en Alemania. El FBI ahora lo ha cerrado.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Seg\u00fan el Departamento de Justicia de EE. UU., los fiscales estadounidenses cerraron la botnet de IoT denominada Raptor Train bas\u00e1ndose en una orden judicial. Michael Horka, ingeniero senior de seguridad de la informaci\u00f3n en Black Lotus Labs, explic\u00f3 a Heise Security que todo el tr\u00e1fico IP a los servidores de comando y control (C2), los servidores de carga \u00fatil y el resto de la infraestructura de la botnet se enruta a trav\u00e9s de un enrutamiento cero. Seg\u00fan sus propios datos, el FBI se hizo cargo de partes de la infraestructura y orden\u00f3 a los robots que se desconectaran.<\/p>\n\n\n\n

Black Lotus Labs es parte del proveedor de seguridad de TI Lumen Technologies y llam\u00f3 la atenci\u00f3n de los fiscales por primera vez sobre Raptor Train a mediados de 2023. Lumen Technologies ha descrito en detalle la construcci\u00f3n de la botnet en un documento .<\/p>\n\n\n\n

Raptor Train: botnet controlada por China<\/h2>\n\n\n\n

Seg\u00fan el FBI, la botnet era operada por una empresa china llamada Integrity Technology Group (Integrity Tech), que seg\u00fan las autoridades tiene v\u00ednculos con el gobierno chino. Empresas como Microsoft y Crowdstrike se refieren a la fuerza de pirater\u00eda estatal como Flax Typhoon.<\/p>\n\n\n\n

Seg\u00fan el FBI, en junio Integrity Tech ten\u00eda bajo control unos 260.000 routers, c\u00e1maras web y dispositivos NAS en todo el mundo, incluidos casi 19.000 en Alemania. Los fabricantes afectados incluyen Asus, DrayTek, Hikvision, Microtik, Mobotix, Qnap, Synology, TP-Link, Ruckus Wireless y Zyxel. Seg\u00fan Michael Horka, que present\u00f3 los detalles de Raptor Train en la conferencia de seguridad Labscon 2024 , probablemente no se utilizaron exploits de d\u00eda cero para infectar los dispositivos. Sin embargo, la infraestructura utilizada para gestionar la botnet est\u00e1 dise\u00f1ada para ello. Los fiscales enumeran en un documento todas las vulnerabilidades explotadas por Raptor Train . Muchos de los dispositivos afectados todav\u00eda reciben actualizaciones de seguridad de los fabricantes.<\/p>\n\n\n\n

Red de bots de tres niveles<\/h2>\n\n\n\n

La botnet ten\u00eda tres capas: los investigadores denominan a los dispositivos infectados Nivel 1. El nivel 2 eran los servidores C2. Se utiliz\u00f3 el nivel 3 para gestionar el equipo infectado. Respecto al nivel 1, Mike Horka dijo: \u00abEl malware utilizado por Raptor Train existe exclusivamente en la memoria del dispositivo. Por lo tanto, no sobrevive a los reinicios, lo que explica la constante fluctuaci\u00f3n del n\u00famero de bots\u00bb. En promedio, los dispositivos infectados formaron parte de la botnet durante unos buenos 17 d\u00edas. Seg\u00fan el FBI, un total de 1,2 millones de dispositivos fueron infectados durante los cuatro a\u00f1os de vida de la botnet. Esa es la cantidad de ID que se encontraron en la base de datos MySQL, que almacenaba una ID \u00fanica para cada dispositivo reci\u00e9n infectado en el momento de la infecci\u00f3n.<\/p>\n\n\n\n

El malware, denominado Nosedive por Black Lotus Labs, se basa en el c\u00f3digo del conocido malware IoT Mirai y se ejecuta en varias plataformas de hardware como ARM, MIPS, PowerPC o x86. El malware se descarga desde un script bash de 15 l\u00edneas que reconoce la plataforma de hardware en cuesti\u00f3n y luego wgetla descarga a trav\u00e9s del implante real. \u00abEl malware se escondi\u00f3 en el dispositivo infectado asign\u00e1ndose un nombre de proceso com\u00fan que fue elegido al azar de una lista de once entradas\u00bb, dijo Mike Horka.<\/p>\n\n\n\n

Objetivo del ejercicio: disfrazar ataques<\/h2>\n\n\n\n

Seg\u00fan Black Lotus Labs, los robots se utilizaron para atacar a organizaciones estadounidenses y taiwanesas en los sectores militar, gubernamental, educativo, de defensa, de telecomunicaciones y de TI. Seg\u00fan Mike Horka, dado que los investigadores de seguridad inform\u00e1tica no ten\u00edan acceso a la capa C2, es dif\u00edcil rastrear las actividades exactas de la botnet. Por ejemplo, no se observaron ataques DDoS, aunque s\u00ed hab\u00eda numerosas funciones para ello en el software Tier3.<\/p>\n\n\n\n

La lista de exploits controlados por Raptor Train incluye muchos para hardware y software profesional como Cisco ASA y Firepower, F5 BIG-IP, IBM Tivoli y WebSphere o dispositivos Ivanti. Esto sugiere que los operadores de la botnet hicieron un mal uso de los dispositivos IoT infectados para atacar estos componentes de hardware y software, escondi\u00e9ndose detr\u00e1s de las direcciones IP de las v\u00edctimas.<\/p>\n\n\n\n

<\/p>\n","protected":false},"excerpt":{"rendered":"

Alrededor de 1,2 millones de dispositivos IoT formaban parte de<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[2377,2375],"tags":[6632,593,6638,1702,6633,5281,6637,3740,6634,6631,690,190,664,188,6635,189,6636,702,1765,195],"class_list":["post-2676","post","type-post","status-publish","format-standard","hentry","category-ciberseguridad","category-internet","tag-ataque-masivo","tag-botnet","tag-camaras-web","tag-ciberseguridad","tag-cierre-de-botnet","tag-control-remoto","tag-dispositivos-infectados","tag-dispositivos-iot","tag-dispositivos-nas","tag-enrutadores-domesticos","tag-fbi","tag-hackeo","tag-infraestructura-critica","tag-malware","tag-operacion-policial","tag-proteccion","tag-red-domestica","tag-seguridad-informatica","tag-vigilancia","tag-vulnerabilidades"],"_links":{"self":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/2676","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/comments?post=2676"}],"version-history":[{"count":1,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/2676\/revisions"}],"predecessor-version":[{"id":2677,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/2676\/revisions\/2677"}],"wp:attachment":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/media?parent=2676"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/categories?post=2676"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/tags?post=2676"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}