Una nueva ciberseguridad conjunta consultivo del Buró Federal de Investigaciones, la Fuerza de Misión Nacional Cibernética y la Agencia de Seguridad Nacional expone nueva actividad del actor de amenaza Flax Typhoon.
Los ciberatacantes han comprometido más de 260.000 enrutadores de pequeñas oficinas y oficinas domésticas (SOHO), firewalls, dispositivos de almacenamiento conectado a red e Internet de las cosas para crear una botnet capaz de lanzar ataques de denegación de servicio distribuido o ataques dirigidos a redes estadounidenses.
¿Quién es Flax Typhoon?
Flax Typhoon, también conocido como RedJuliett y Ethereal Panda, es un actor de amenazas con sede en China activo desde al menos mediados de 2021. según MicrosoftEl gigante tecnológico informó que Flax Typhoon ha atacado a organizaciones con sede en Taiwán, así como a otras víctimas en el sudeste asiático, América del Norte y África, con fines de ciberespionaje.
Según el informe conjunto del FBI, el grupo respalda a una empresa con sede en China llamada Integrity Tech, que tiene vínculos con el gobierno chino.
Flax Typhoon ha utilizado varias direcciones IP diferentes del proveedor chino China Unicom Beijing Province para controlar y gestionar la botnet. El grupo también ha aprovechado estas direcciones para acceder a otras infraestructuras operativas utilizadas en operaciones de intrusión informática dirigidas a entidades estadounidenses.
Otros informes muestran que actores de amenazas con sede en China han atacado a empresas y gobiernos de todo el mundo en los últimos años.
VER: Por qué su empresa necesita capacitación sobre concientización sobre ciberseguridad (TechRepublic Premium)
Red de bots ‘Raptor Train’
Black Lotus Labs, el equipo de inteligencia de amenazas de la empresa de ciberseguridad Lumen, publicó un informe sobre el ataque de Flax Typhoon a los enrutadores SOHO y otros dispositivos. Llamaron a la botnet resultante de esa actividad “Raptor Train” y la han estado rastreando durante cuatro años.
Los dispositivos afectados han sido comprometidos por una variante del infame Mirai familia de malware, lo que lo convierte en un arma preferida por cualquier ciberdelincuente que busque comprometer dispositivos IoT, ya que podrían modificar fácilmente el código para su propósito.
En la variante observada por el FBI, el malware automatiza la vulneración de varios dispositivos explotando vulnerabilidades conocidas. Las vulnerabilidades explotadas más antiguas datan de 2015, mientras que las más recientes ocurrieron en julio de 2024. Una vez vulnerado, el dispositivo envía información del sistema y de la red a un servidor C2 controlado por el atacante.
En septiembre de 2024, más de 80 subdominios del dominio w8510.com estaban asociados con la botnet.
Casi la mitad de los dispositivos afectados se encuentran en EE. UU.
En junio de 2024, los servidores de administración que ejecutaban un software front-end llamado “Sparrow”, que permitía a los atacantes controlar los dispositivos comprometidos, contenían más de 1,2 millones de registros. Esto incluye más de 385.000 dispositivos únicos en EE. UU.
Un recuento de dispositivos infectados realizado en junio de 2024 reveló que casi la mitad (47,9%) de los dispositivos infectados estaban ubicados en EE. UU., seguido de Vietnam (8%) y Alemania (7,2%).
Más de 50 sistemas Linux fueron comprometidos, desde versiones obsoletas y sin soporte hasta versiones actualmente soportadas, que ejecutan versiones del kernel de Linux desde la 2.6 a la 5.4.
La interfaz Sparrow permitió al actor de amenazas no solo enumerar los dispositivos comprometidos, sino también administrar vulnerabilidades y exploits, cargar o descargar archivos, ejecutar comandos remotos y adaptar ataques DDoS basados en IoT a escala.
Los dispositivos afectados por la botnet son de muchas marcas, entre ellas, los routers ASUS, TP-LINK o Zyxel. También se vieron afectadas las cámaras IP, como las de D-LINK DCS, Hikvision, Mobotix, NUUO, AXIS y Panasonic. También se vieron afectados los NAS de QNAP, Synology, Fujitsu y Zyxel.
El director del FBI, Christopher Wray, anunció en un discurso inaugural en la Cumbre cibernética de Aspen 2024 que una autorización judicial permitió al FBI emitir órdenes para eliminar el malware de los dispositivos infectados.
Cómo pueden protegerse las empresas del tifón del lino
El FBI recomienda que se tomen rápidamente las siguientes acciones:
- Desactive los servicios y puertos no utilizados en los enrutadores y dispositivos IoT. Los atacantes pueden abusar de servicios como Universal Plug And Play o los servicios de uso compartido de archivos, por lo que se deben desactivar todos los servicios si no son necesarios.
- Se debe implementar la segmentación de la red para garantizar que los dispositivos IoT no presenten un mayor riesgo de vulnerabilidad. Se debe aplicar el principio del mínimo privilegio para que los dispositivos solo puedan realizar la función prevista.
- Controle los grandes volúmenes de tráfico de red. Las organizaciones deben prepararse para volúmenes de tráfico anormales que podrían ser objeto de ataques DDoS.
- Implemente parches y actualizaciones para todos los sistemas operativos, software y firmware. La aplicación periódica de parches mitiga la explotación de vulnerabilidades.
- Reemplace las contraseñas de los dispositivos predeterminados por otras más seguras para que un atacante no pueda simplemente iniciar sesión con las credenciales predeterminadas.
La agencia federal también sugirió que las empresas planifiquen reinicios de dispositivos (para eliminar malware sin archivos que pueda ejecutarse en la memoria) y reemplacen equipos al final de su vida útil con otros compatibles.
Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.
GIPHY App Key not set. Please check settings