El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido y sus agencias homólogas Five Eyes han acusado a una empresa con sede en China que actúa como fachada del Estado de gestionar una enorme botnet que comprende más de 250.000 dispositivos conectados a Internet, alrededor de 8.500 de ellos ubicados en el Reino Unido. .
Los dispositivos comprometidos incluyen redes empresariales y herramientas de seguridad, como enrutadores y firewalls, y productos de Internet de las cosas (IoT), como cámaras CCTV y cámaras web. Sin que sus propietarios lo sepan, se utilizan para llevar a cabo ciberataques coordinados, incluidos ataques distribuidos de denegación de servicio (DDoS) y distribución de malware.
“Las operaciones de botnet representan una amenaza significativa para el Reino Unido al explotar vulnerabilidades en dispositivos cotidianos conectados a Internet con el potencial de llevar a cabo ataques cibernéticos a gran escala”, dijo el director de operaciones del NCSC, Paul Chichester.
“Si bien la mayoría de las botnets se utilizan para realizar ataques DDoS coordinados, sabemos que algunas también tienen la capacidad de robar información confidencial.
“Es por eso que el NCSC, junto con nuestros socios en los países de Five Eyes, alienta encarecidamente a las organizaciones e individuos a actuar según las pautas establecidas en este aviso, que incluye la aplicación de actualizaciones a los dispositivos conectados a Internet, para ayudar a evitar que sus dispositivos se unan a un red de bots”.
La empresa en cuestión, Integrity Technology Group, tiene su sede en Beijing y el servicio parece operar como un proveedor legítimo de servicios de seguridad de red.
Sin embargo, según el aviso conjunto, que puede leerse completo aquí, también ha puesto su experiencia al servicio del gobierno chino: se sabe que las direcciones IP de Integrity China Unicom de la provincia de Beijing se han utilizado para acceder a otra infraestructura operativa. utilizado en ciberataques a víctimas en EE.UU.
Según las autoridades, el FBI se ha involucrado con varias de estas víctimas y ha descubierto actividades consistentes con las tácticas, técnicas y procedimientos (TTP) favorecidos por un actor de amenaza persistente avanzada (APT) respaldado por el estado rastreado como Flax Typhoon, pero también conocido como RedJuliett y Ethereal Panda, entre otras cosas.
Su botnet utiliza la infame familia de malware Mirai para secuestrar dispositivos que ejecutan sistemas operativos basados en Linux. Integrity apunta a estos dispositivos a través de una serie de vulnerabilidades y exposiciones comunes (CVE) divulgadas.
Una vez que la carga útil de Mirai se ha descargado y ejecutado, comienza los procesos en el dispositivo para establecer una conexión con la infraestructura de comando y control (C2) de Integrity utilizando Transport Layer Security (TLS) a través del puerto 443. También recopila y filtra información del sistema, incluida Versiones del sistema operativo, memoria y detalles de ancho de banda para fines de enumeración. También envía solicitudes a ‘c.speedtest.net’ para recopilar detalles adicionales de conexión a Internet. Además, la investigación encontró que algunas de las cargas útiles de Mirai se autoeliminan para evitar ser detectadas.
Mientras tanto, en sentido ascendente, Integrity opera un nivel de servidores de administración a través del puerto TCP 34125 para ejecutar la infraestructura C2 de la botnet. Los servidores alojan una base de datos MySQL que contiene información sobre los dispositivos comprometidos, que hasta junio de este año se cree que contiene más de 1,2 millones de registros. Los servidores también alojan una aplicación conocida como ‘Sparrow’ para interactuar con la botnet: el código de esta aplicación se almacena en un repositorio Git y define varias funciones que permiten a los usuarios enviar comandos de tareas y explotación a los dispositivos comprometidos, entre otras cosas. ‘Sparrow’ también puede proporcionar información sobre la vulnerabilidad del dispositivo a los usuarios y un subcomponente llamado ‘arsenal de vulnerabilidad’ que les permite explotar las redes tradicionales a través de los dispositivos víctimas.
Se pueden encontrar más detalles sobre la actividad de Integrity, incluida la orientación de mitigación, en el aviso completo.