Recientemente, el FBI logró un hito significativo al desmantelar un botnet chino, operación que marcó un punto de inflexión en la lucha contra el cibercrimen.
Antes de sumergirnos en el caso específico, es crucial entender qué es un botnet. Un botnet es una red de dispositivos conectados a Internet, que han sido infectados por malware y controlados por ciberdelincuentes. Estos dispositivos pueden ser computadoras personales, servidores o, como en este caso, routers. Los ciberdelincuentes utilizan botnets para una variedad de propósitos maliciosos, incluyendo ataques DDoS, robo de datos y distribución de malware.
Conoce más sobre: Origen de botnets: Variantes Mirai - HailBot, KiraiBot, CatDDoS
El FBI ha desmantelado la botnet KV, utilizada por hackers chinos del grupo Volt Typhoon, conocidos por sus ataques a infraestructuras críticas de EE. UU. Este grupo, también llamado Bronze Silhouette, secuestró numerosas oficinas pequeñas y domésticas en Estados Unidos, utilizando sus redes para camuflar sus actividades maliciosas y evadir la detección.
Los dispositivos comprometidos en esta botnet incluían routers Netgear ProSAFE, Cisco RV320, DrayTek Vigor y cámaras IP Axis. Fue Lumen Technologies, a través de su equipo Black Lotus Labs, quien inicialmente asoció este malware con el grupo chino en diciembre.
Un informe reciente reveló que los hackers de Volt Typhoon lograron tomar control de aproximadamente el 30% de todos los dispositivos Cisco RV320/325 en línea en poco más de un mes.
"El malware de Volt Typhoon permitió a China realizar actividades encubiertas, incluyendo el reconocimiento y la explotación de redes contra infraestructura crítica como comunicaciones, energía, transporte y agua", explicó Christopher Wray, director del FBI. "Por lo tanto, en colaboración con nuestros socios, llevamos a cabo una operación judicialmente autorizada para eliminar el acceso de Volt Typhoon".
La operación del FBI comenzó el 6 de diciembre tras obtener una orden judicial que autorizaba la eliminación de la botnet. Los agentes del FBI hackearon el servidor de comando y control de la botnet, enviando comandos a los dispositivos comprometidos para desconectarlos y prevenir su reconexión por parte de los hackers.
Además, se emitió un comando para desinstalar el componente VPN del malware y bloquear a los hackers, impidiéndoles usar los dispositivos para futuros ataques.
La mayoría de los routers afectados por la KV Botnet eran modelos Cisco y NetGear, vulnerables por haber alcanzado su "fin de vida" y carecer de soporte de seguridad actualizado. La operación autorizada por el tribunal no solo eliminó el malware de estos routers, sino que también tomó medidas adicionales para desconectarlos permanentemente de la botnet, incluyendo el bloqueo de comunicaciones con otros dispositivos usados para controlar la botnet, según un comunicado del Departamento de Justicia.
También te podrá interesar: Desmantelamiento de Qakbot: Un Caso de Éxito en Ciberseguridad
Este caso resalta la importancia de la seguridad cibernética a nivel individual y empresarial. Algunas prácticas recomendadas incluyen:
Conoce más sobre: Monitoreo de Enrutadores de Red con OpManager
La desarticulación del botnet chino por parte del FBI es un hito en la lucha contra el ciberdelito. Este evento no solo muestra la evolución de las tácticas de las agencias de seguridad, sino que también subraya la importancia de buenas prácticas de seguridad por parte de los usuarios. La seguridad cibernética es una responsabilidad compartida, y eventos como este nos recuerdan la necesidad de estar siempre vigilantes.