El FBI ha anunciado que ha interrumpido la conocida red de bots KV, usada para evadir la detección durante ciberataques dirigidos a infraestructuras críticas de EE.UU.
Esta botnet estaba operada por ciberdelincuentes estatales chinos, en concreto a un grupo que se hace llamar Volt Typhoon o Bronze Silhouette.
Los hackers se servían de la botnet para secuestrar cientos de pequeñas oficinas o equipos domésticos alrededor de todo el país norteamericano para garantizar que su actividad maliciosa se mezclara con tráfico real legítimo. De esa forma hacían más difícil la detección.
La operación del FBI se inició el pasado 6 de diciembre, cuando la agencia obtuvo una orden judicial que le autorizaba a eliminar la botnet tras piratear su servidor de comando y control (C2).
"El malware Volt Typhoon permitió a China ocultar, entre otras cosas, reconocimiento preoperativo y explotación de redes contra infraestructuras críticas, como nuestros sectores de comunicaciones, energía, transporte y agua. En otras palabras, medidas que China estaba tomando para encontrar y prepararse para destruir o degradar la infraestructura civil crítica que nos mantiene seguros y prósperos", ha señalado el director del FBI, Christopher Wray.
"Entonces, trabajando con nuestros socios, el FBI llevó a cabo una operación en la red autorizada por el tribunal para cerrar Volt Typhoon y el acceso que facilitaba", ha añadido.
A por los routers obsoletos
Según revelaba el equipo de investigadores Black Lotus Labs de Lumen Technologies (quien vinculó por primera vez el malware con el grupo de amenazas chino hace unas semanas), los dispositivos comprometidos y agregados a la red de bots incluyen routers Netgear ProSAFE, Cisco RV320 y DrayTek Vigor, así como cámaras IP Axis.
"La gran mayoría de los routers que formaban parte de KV Botnet eran de Cisco y NetGear que resultaba vulnerables porque habían alcanzado el estado de 'fin de vida'; es decir, ya no eran compatibles con los parches de seguridad de sus fabricantes u otras actualizaciones de software", señala un comunicado de prensa del Departamento de Justicia.
"La operación autorizada por el tribunal eliminó el malware KV Botnet de los routers y tomó medidas adicionales para cortar su conexión a la botnet, como bloquear las comunicaciones con otros dispositivos utilizados para su control", concluye.
Un informe de Microsoft publicado en mayo evidenciaba que los piratas informáticos Volt Typhoon han estado atacando y violando organizaciones de infraestructuras críticas de EE.UU. desde al menos mediados de 2021.