Rusia podría estar preparando un ataque informático masivo hacia Ucrania a través de una botnet que ha afectado a 500,000 routers y dispositivos de almacenamiento conectados a la red (NAS).
Así lo informó la firma de seguridad Cisco a través de un informe publicado el día de hoy, donde afirma que la botnet está impulsada por el malware ‘VPNFilter’, llamado así por algunos nombres de carpetas creadas por la amenaza.
El grupo de inteligencia contra amenazas Talos de Cisco ha trabajado en conjunto con otras firmas de seguridad informática y agencias de inteligencia para investigar a VPNFilter, lanzando el primer informe el día de hoy debido a las preocupaciones de que un ataque masivo sea inminente a través de esta botnet.
Los investigadores revelan en su informe que un hacker vinculado al Gobierno de Rusia podría estar detrás del ataque, por lo que el Kremlin ha sido nombrado como el principal sospechoso debido a la superposición de códigos con el malware BlackEnergy, que muchos atribuyeron a este gobierno.
Asimismo, los expertos afirmaron que han observado más de 500,000 routers hackeados en al menos 54 países, pero la mayor cantidad de dispositivos afectados está en Ucrania, lo que incrementa las sospechas de las autoridades sobre un posible ataque de Rusia, dadas las tensiones entre ambos países en la actualidad.
Se pudo conocer que el malware ha afectado a los dispositivos fabricados por las empresas Linksys, MikroTik, Netgear, TP-Link y QNAP, y a pesar de que no ha sido identificado todavía el vector del ataque, los investigadores no creen que esté involucrado con vulnerabilidades de día cero.
Con respecto al malware, VPNFilter es capaz de interceptar los datos que pasan a través de un dispositivo comprometidos, incluidas las credenciales de un sitio web e incluso puede monitorear las comunicaciones a través del protocolo Modbus SCADA. El malware usa la red Tor para comunicarse con un panel de control y tiene capacidad para inutilizar el dispositivo afectado. Según el informe de Talos:
La capacidad destructiva de este malware nos concierne. Esto muestra que el hacker está dispuesto a quemar los dispositivos de los usuarios para ocultar su rastro, yendo más allá de simplemente eliminar el rastro. En caso de adaptarse a sus objetivos, este comando podría ejecutarse a gran escala, inutilizando cientos de miles de dispositivos, inhabilitando el acceso a Internet para cientos de miles de víctimas en todo el mundo o en una región específica adaptada a los objetivos del hacker.
La preocupación de los investigadores radica en el hecho de que VPNFilter puede utilizarse para implementar otro ataque masivo contra Ucrania, a pocas semanas de celebrarse el Día de la Constitución, un día emblemático en ese país. El año pasado, el ataque con NotPetya fue lanzado en vísperas de esta celebración, y tanto Ucrania como Estados Unidos culparon a Rusia por el hecho.
