Una ley global La operación de aplicación de la ley de esta semana derribó y desmanteló la famosa botnet Qakbot, promocionada como la mayor alteración financiera y técnica de una infraestructura de botnet liderada por Estados Unidos.
Qakbot es un troyano bancario que se hizo famoso por proporcionar un punto de apoyo inicial en la red de una víctima para que otros piratas informáticos compraran acceso y entregaran su propio malware, como ransomware. Los funcionarios estadounidenses dijeron que Qakbot ha ayudado a facilitar más de 40 ataques de ransomware solo en los últimos 18 meses, generando 58 millones de dólares en pagos de rescate.
En la operación policial, denominada “Operación Caza de Patos”, el FBI y sus socios internacionales se apoderaron de la infraestructura de Qakbot ubicada en los Estados Unidos y en toda Europa. El Departamento de Justicia de Estados Unidos, que dirigió la operación junto con el FBI, también anunció la incautación de más de 8,6 millones de dólares en criptomonedas de la organización cibercriminal Qakbot, que pronto estarán a disposición de las víctimas.
En el anuncio del martes, el FBI dijo que llevó a cabo una operación que redirigió el tráfico de red de la botnet a servidores bajo el control del gobierno de Estados Unidos, permitiendo a los federales tomar el control de la botnet. Con este acceso, el FBI utilizó la botnet para instruir a las máquinas infectadas por Qakbot en todo el mundo para que descargaran un desinstalador creado por el FBI que desconectaba la computadora de la víctima de la botnet, impidiendo una mayor instalación de malware a través de Qakbot.
El FBI dijo que su operación había identificado aproximadamente 700.000 dispositivos infectados con Qakbot hasta junio, incluidos más de 200.000 ubicados en Estados Unidos. Durante una llamada con los periodistas, un alto funcionario del FBI dijo que el número total de víctimas de Qakbot probablemente sea de “millones”.
Así es como se llevó a cabo la Operación Duck Hunt.
¿Cómo fue la operación?
Según la solicitud de orden de incautación de la operación, el FBI identificó y obtuvo acceso a los servidores que ejecutan la infraestructura de la botnet Qakbot alojada por una empresa de alojamiento web anónima, incluidos los sistemas utilizados por los administradores de Qakbot. El FBI también pidió al tribunal que exija al proveedor de alojamiento web que presente en secreto una copia de los servidores para evitar que notifique a sus clientes, los administradores de Qakbot.
Algunos de los sistemas a los que tuvo acceso el FBI incluyen la pila de máquinas virtuales de Qakbot para probar sus muestras de malware contra motores antivirus populares, y los servidores de Qakbot para ejecutar campañas de phishing con nombres de ex presidentes de EE. UU., sabiendo bien que los correos electrónicos con temas políticos probablemente reciban abrió. El FBI dijo que también pudo identificar las billeteras de Qakbot que contenían criptomonedas robadas por los administradores de Qakbot.
«A través de su investigación, el FBI ha obtenido una comprensión integral de la estructura y función de la botnet Qakbot», se lee en la solicitud, que describe su plan para eliminar la botnet. «Basándose en ese conocimiento, el FBI ha desarrollado un medio para identificar las computadoras infectadas, recopilar información sobre la infección, desconectarlas de la botnet Qakbot y evitar que los administradores de Qakbot se comuniquen más con esas computadoras infectadas».
Qakbot utiliza una red de sistemas por niveles, descritos como Nivel 1, Nivel 2 y Nivel 3, para controlar el malware instalado en computadoras infectadas en todo el mundo, según el FBI y las conclusiones de la agencia de ciberseguridad estadounidense CISA.
El FBI dijo que los sistemas de Nivel 1 son computadoras domésticas o comerciales comunes, muchas de las cuales estaban ubicadas en los Estados Unidos, infectadas con Qakbot y que también tienen un módulo de «supernodo» adicional, lo que las convierte en parte de la infraestructura de control internacional de la botnet. Las computadoras de Nivel 1 se comunican con los sistemas de Nivel 2, que sirven como proxy para el tráfico de red para ocultar el servidor principal de comando y control de Nivel 3, que los administradores utilizan para emitir comandos cifrados a sus cientos de miles de máquinas infectadas.
Con acceso a estos sistemas y con conocimiento de las claves de cifrado de Qakbot, el FBI dijo que podría decodificar y comprender los comandos cifrados de Qakbot. Usando esas claves de cifrado, el FBI pudo instruir a esas computadoras de «supernodo» de Nivel 1 para que intercambiaran y reemplazaran el módulo de supernodo con un nuevo módulo desarrollado por el FBI, que tenía nuevas claves de cifrado que bloquearían a los administradores de Qakbot de su propia infraestructura. .
Intercambiar, reemplazar, desinstalar
Según un análisis de los esfuerzos de eliminación de la empresa de ciberseguridad Secureworks, la entrega del módulo del FBI comenzó el 25 de agosto a las 7:27 pm en Washington, DC.
Luego, el FBI envió comandos instruyendo a esas computadoras de Nivel 1 a comunicarse con un servidor controlado por el FBI, en lugar de los servidores de Nivel 2 de Qakbot. A partir de ahí, la próxima vez que una computadora infectada con Qakbot se conectara con sus servidores (cada uno o cuatro minutos aproximadamente) se encontraría comunicándose sin problemas con un servidor del FBI.
Después de que las computadoras infectadas con Qakbot fueran canalizadas al servidor del FBI, el servidor le indicó a la computadora que descargara un desinstalador que elimina el malware Qakbot por completo. (El archivo de desinstalación se cargó en VirusTotal, un escáner de virus y malware en línea administrado por Google). Esto no elimina ni corrige ningún malware que haya entregado Qakbot, pero bloquearía y evitaría otra infección inicial de Qakbot.
El FBI dijo que su servidor «será un callejón sin salida» y que «no capturará contenido de las computadoras infectadas», excepto la dirección IP de la computadora y la información de enrutamiento asociada para que el FBI pueda contactar a las víctimas de Qakbot.
«El código malicioso Qakbot se está eliminando de las computadoras de las víctimas, evitando que cause más daño», dijeron los fiscales el martes.
Este es el derribo operativo más reciente que ha llevado a cabo el FBI en los últimos años.
En 2021, los federales llevaron a cabo la primera operación de su tipo para eliminar puertas traseras colocadas por piratas informáticos chinos en servidores de correo electrónico de Microsoft Exchange pirateados. Un año después, el FBI desmanteló una botnet masiva utilizada por espías rusos para lanzar ataques cibernéticos potentes y disruptivos diseñados para desconectar redes y, a principios de este año, desactivó otra botnet rusa que había estado operando desde al menos 2004.