No hay muchas historias en el mundo de la tecnología que fácilmente podrían convertirse en la trama de una tensa película de suspenso y espías, pero esta seguramente tiene todas las características adecuadas para una. El mes pasado, el Departamento de Justicia de Estados Unidos llevó a cabo una operación autorizada en la que neutralizó una botnet, compuesta por cientos de enrutadores en hogares y oficinas, que se utilizaba para llevar a cabo phishing y otros robos de credenciales. Y esto se logró utilizando el mismo malware que la propia botnet.
Según lo informado por Ars Technica, la red fue creada por la Unidad Militar GRU 26165 (también conocida con los nombres Forest Blizzard, Fancy Bear, Sednit y otros), un grupo de piratería patrocinado por el estado que, según informó, tiene vínculos directos con Main. Dirección de Inteligencia del Estado Mayor de las Fuerzas Armadas de la Federación Rusa (GRU, para abreviar).
Pero en lugar de utilizar su propio malware, o cualquier cosa desarrollada por GRU, el grupo utilizó un malware llamado Moobot que se ha utilizado antes para insegurar enrutadores. En este caso, infectó el sistema operativo en ciertos enrutadores Ubiquiti Edge que todavía usaban las contraseñas de administrador predeterminadas y conocidas públicamente.
Una vez en funcionamiento, el grupo podría utilizar la red para extraer todo tipo de información que pase a través de los enrutadores. Si bien la cantidad de enrutadores infectados era relativamente pequeña, alrededor de mil, fue más que suficiente para crear una botnet efectiva que fuera lo suficientemente invasiva como para justificar la intervención directa del FBI y el Departamento de Justicia.
Para contrarrestarlo, el Departamento de Justicia utilizó inteligentemente el mismo malware para volver a piratear los enrutadores, copiar y eliminar los datos robados, así como eliminar los scripts maliciosos y alterar los cortafuegos de los enrutadores para evitar cualquier gestión remota adicional de los mismos. Para acuñar una frase simple, hackeó el truco.
Como no siempre se puede confiar en las autoridades para evitar que el enrutador se utilice para actividades delictivas, existen pasos simples que cualquier persona que administre una pequeña empresa u oficina desde casa puede seguir.
Comience restableciendo el enrutador a su configuración predeterminada de fábrica (lo que borrará todo lo almacenado en él), luego actualícelo a la última versión del firmware, luego cambie todos los nombres de usuario y contraseñas predeterminados y finalmente use su firewall para bloquear cualquier acceso a gestión remota.
Puede ser bastante difícil saber si su enrutador está infectado con malware o no, pero las acciones anteriores sin duda ayudarán a cortarlo de raíz. ¿Que estas esperando?