Una ley global La operación de aplicación de la ley de esta semana derribó y desmanteló la famosa botnet Qakbot, promocionada como la mayor alteración financiera y técnica de una infraestructura de botnet liderada por Estados Unidos.

Qakbot es un troyano bancario que se hizo famoso por proporcionar un punto de apoyo inicial en la red de una víctima para que otros piratas informáticos compraran acceso y entregaran su propio malware, como ransomware. Los funcionarios estadounidenses dijeron que Qakbot ha ayudado a facilitar más de 40 ataques de ransomware solo en los últimos 18 meses, generando 58 millones de dólares en pagos de rescate.

En la operación policial, denominada “Operación Caza de Patos”, el FBI y sus socios internacionales se apoderaron de la infraestructura de Qakbot ubicada en los Estados Unidos y en toda Europa. El Departamento de Justicia de Estados Unidos, que dirigió la operación junto con el FBI, también anunció la incautación de más de 8,6 millones de dólares en criptomonedas de la organización cibercriminal Qakbot, que pronto estarán a disposición de las víctimas.

En el anuncio del martes, el FBI dijo que llevó a cabo una operación que redirigió el tráfico de red de la botnet a servidores bajo el control del gobierno de Estados Unidos, permitiendo a los federales tomar el control de la botnet. Con este acceso, el FBI utilizó la botnet para instruir a las máquinas infectadas por Qakbot en todo el mundo para que descargaran un desinstalador creado por el FBI que desconectaba la computadora de la víctima de la botnet, impidiendo una mayor instalación de malware a través de Qakbot.

El FBI dijo que su operación había identificado aproximadamente 700.000 dispositivos infectados con Qakbot hasta junio, incluidos más de 200.000 ubicados en Estados Unidos. Durante una llamada con los periodistas, un alto funcionario del FBI dijo que el número total de víctimas de Qakbot probablemente sea de “millones”.

Así es como se llevó a cabo la Operación Duck Hunt.

¿Cómo fue la operación?

Según la solicitud de orden de incautación de la operación, el FBI identificó y obtuvo acceso a los servidores que ejecutan la infraestructura de la botnet Qakbot alojada por una empresa de alojamiento web anónima, incluidos los sistemas utilizados por los administradores de Qakbot. El FBI también pidió al tribunal que exija al proveedor de alojamiento web que presente en secreto una copia de los servidores para evitar que notifique a sus clientes, los administradores de Qakbot.

Algunos de los sistemas a los que tuvo acceso el FBI incluyen la pila de máquinas virtuales de Qakbot para probar sus muestras de malware contra motores antivirus populares, y los servidores de Qakbot para ejecutar campañas de phishing con nombres de ex presidentes de EE. UU., sabiendo bien que los correos electrónicos con temas políticos probablemente reciban abrió. El FBI dijo que también pudo identificar las billeteras de Qakbot que contenían criptomonedas robadas por los administradores de Qakbot.

«A través de su investigación, el FBI ha obtenido una comprensión integral de la estructura y función de la botnet Qakbot», se lee en la solicitud, que describe su plan para eliminar la botnet. «Basándose en ese conocimiento, el FBI ha desarrollado un medio para identificar las computadoras infectadas, recopilar información sobre la infección, desconectarlas de la botnet Qakbot y evitar que los administradores de Qakbot se comuniquen más con esas computadoras infectadas».

Qakbot utiliza una red de sistemas por niveles, descritos como Nivel 1, Nivel 2 y Nivel 3, para controlar el malware instalado en computadoras infectadas en todo el mundo, según el FBI y las conclusiones de la agencia de ciberseguridad estadounidense CISA.

El FBI dijo que los sistemas de Nivel 1 son computadoras domésticas o comerciales comunes, muchas de las cuales estaban ubicadas en los Estados Unidos, infectadas con Qakbot y que también tienen un módulo de «supernodo» adicional, lo que las convierte en parte de la infraestructura de control internacional de la botnet. Las computadoras de Nivel 1 se comunican con los sistemas de Nivel 2, que sirven como proxy para el tráfico de red para ocultar el servidor principal de comando y control de Nivel 3, que los administradores utilizan para emitir comandos cifrados a sus cientos de miles de máquinas infectadas.

Con acceso a estos sistemas y con conocimiento de las claves de cifrado de Qakbot, el FBI dijo que podría decodificar y comprender los comandos cifrados de Qakbot. Usando esas claves de cifrado, el FBI pudo instruir a esas computadoras de «supernodo» de Nivel 1 para que intercambiaran y reemplazaran el módulo de supernodo con un nuevo módulo desarrollado por el FBI, que tenía nuevas claves de cifrado que bloquearían a los administradores de Qakbot de su propia infraestructura. .

Intercambiar, reemplazar, desinstalar

Según un análisis de los esfuerzos de eliminación de la empresa de ciberseguridad Secureworks, la entrega del módulo del FBI comenzó el 25 de agosto a las 7:27 pm en Washington, DC.

Luego, el FBI envió comandos instruyendo a esas computadoras de Nivel 1 a comunicarse con un servidor controlado por el FBI, en lugar de los servidores de Nivel 2 de Qakbot. A partir de ahí, la próxima vez que una computadora infectada con Qakbot se conectara con sus servidores (cada uno o cuatro minutos aproximadamente) se encontraría comunicándose sin problemas con un servidor del FBI.

Después de que las computadoras infectadas con Qakbot fueran canalizadas al servidor del FBI, el servidor le indicó a la computadora que descargara un desinstalador que elimina el malware Qakbot por completo. (El archivo de desinstalación se cargó en VirusTotal, un escáner de virus y malware en línea administrado por Google). Esto no elimina ni corrige ningún malware que haya entregado Qakbot, pero bloquearía y evitaría otra infección inicial de Qakbot.

El FBI dijo que su servidor «será un callejón sin salida» y que «no capturará contenido de las computadoras infectadas», excepto la dirección IP de la computadora y la información de enrutamiento asociada para que el FBI pueda contactar a las víctimas de Qakbot.

«El código malicioso Qakbot se está eliminando de las computadoras de las víctimas, evitando que cause más daño», dijeron los fiscales el martes.

Este es el derribo operativo más reciente que ha llevado a cabo el FBI en los últimos años.

En 2021, los federales llevaron a cabo la primera operación de su tipo para eliminar puertas traseras colocadas por piratas informáticos chinos en servidores de correo electrónico de Microsoft Exchange pirateados. Un año después, el FBI desmanteló una botnet masiva utilizada por espías rusos para lanzar ataques cibernéticos potentes y disruptivos diseñados para desconectar redes y, a principios de este año, desactivó otra botnet rusa que había estado operando desde al menos 2004.

El FBI rastreó el malware de ciberespionaje durante casi dos décadas

el gobierno de los estados unidos dijo que interrumpió una campaña rusa de espionaje cibernético de larga duración que robó información confidencial de los gobiernos de EE. UU. y la OTAN, una operación que tomó a los federales casi 20 años.

El Departamento de Justicia anunció el martes que una operación del FBI desmanteló con éxito la red de malware «Snake» utilizada por Turla, un notorio grupo de piratería afiliado durante mucho tiempo al Servicio Federal de Seguridad (FSB) de Rusia. Turla estuvo anteriormente vinculada a un ataque cibernético dirigido al Comando Central de EE. UU., la NASA y el Pentágono.

Los funcionarios estadounidenses describen a Snake como la «herramienta de ciberespionaje más sofisticada del arsenal del FSB».

El DOJ y sus socios globales identificaron el malware Snake en cientos de sistemas informáticos en al menos 50 países. Los fiscales dijeron que los espías rusos detrás del grupo Turla utilizaron el malware para apuntar a los estados miembros de la OTAN, y otros objetivos del gobierno ruso, desde 2004.

En los Estados Unidos, el FSB usó su extensa red de computadoras infectadas con Snake para apuntar a industrias que incluyen educación, pequeñas empresas y organizaciones de medios, junto con sectores de infraestructura crítica que incluyen instalaciones gubernamentales, servicios financieros, manufactura y comunicaciones. El FBI dijo que obtuvo información que indica que Turla también había usado el malware Snake para apuntar a la computadora personal de un periodista en una empresa de medios de comunicación estadounidense no identificada que había informado sobre el gobierno ruso.

Los fiscales agregaron que Snake persiste en el sistema de una computadora comprometida “indefinidamente”, a pesar de los esfuerzos de la víctima por neutralizar la infección.

Después de robar documentos confidenciales, Turla extrajo esta información a través de una red encubierta de igual a igual de computadoras comprometidas con Snake en los EE. UU. y otros países, dijo el Departamento de Justicia, lo que hace que la presencia de la red sea más difícil de detectar.

De Brooklyn a Moscú

Según la declaración jurada del FBI, las autoridades estadounidenses monitorearon la propagación del malware durante varios años, junto con los piratas informáticos de Turla que operaban Snake desde las instalaciones del FSB en Moscú y la cercana ciudad de Ryazan.

El FBI dijo que desarrolló una herramienta llamada «Perseo», el héroe griego que mató monstruos, que permitió a sus agentes identificar el tráfico de red que el malware Snake había tratado de ofuscar.

Entre 2016 y 2022, los funcionarios del FBI identificaron las direcciones IP de ocho computadoras comprometidas en los EE. UU., ubicadas en California, Georgia, Connecticut, Nueva York, Oregón, Carolina del Sur y Maryland. (El FBI dijo que también alertó a las autoridades locales para eliminar las infecciones de Snake en máquinas comprometidas ubicadas fuera de los Estados Unidos).

Con el consentimiento de la víctima, el FBI obtuvo acceso remoto a algunas de las máquinas comprometidas y las supervisó durante «años a la vez». Esto permitió al FBI identificar a otras víctimas en la red Snake y desarrollar capacidades para hacerse pasar por los operadores de Turla y emitir comandos al malware Snake como si los agentes del FBI fueran los piratas informáticos rusos.

Luego, esta semana, después de obtener una orden de registro de un juez federal en Brooklyn, Nueva York, el FBI recibió luz verde para ordenar en masa el cierre de la red.

El FBI usó su herramienta Perseus para imitar los comandos integrados de Snake, que cuando Perseus los transmite desde una computadora del FBI, «finalizarán la aplicación Snake y, además, desactivarán permanentemente el malware Snake al sobrescribir los componentes vitales del implante Snake sin afectar cualquier aplicación o archivo legítimo en las computadoras en cuestión”.

La declaración jurada decía que el FBI usó Perseus para engañar al malware Snake para que se borrara automáticamente en las mismas computadoras que había infectado. El FBI dice que cree que esta acción ha desactivado permanentemente el malware controlado por Rusia en las máquinas infectadas y neutralizará la capacidad del gobierno ruso para acceder más al malware Snake actualmente instalado en las computadoras comprometidas.

Los federales advirtieron que si no hubieran tomado medidas para desmantelar la red de malware cuando lo hicieron, los piratas informáticos rusos podrían haber aprendido «cómo el FBI y otros gobiernos pudieron desactivar el malware Snake y fortalecer las defensas de Snake».

Si bien el FBI ha deshabilitado el malware Snake en las computadoras comprometidas, el DOJ advirtió que los piratas informáticos rusos aún podrían tener acceso a las máquinas comprometidas, ya que la operación no buscó ni eliminó ningún malware adicional o herramientas de piratería que los piratas informáticos pudieran haber colocado en la víctima. redes Los federales también advirtieron que Turla implementa con frecuencia un «registrador de teclas» en las máquinas de las víctimas para robar las credenciales de autenticación de cuentas, como nombres de usuario y contraseñas, de usuarios legítimos.

La agencia de ciberseguridad de EE. UU. CISA lanzó un aviso conjunto de 48 páginas para ayudar a los defensores a detectar y eliminar el malware Snake en sus redes.

Leer más:

El primer tiempo casi termina cuando Dejan Sorgic aparece solo frente al portero del FCZ, Yanick Brecher. El colega de Sorgic, Pius Dorn, jugó el último pase después de una de las muchas victorias rápidas de Lucerne, contra la cual FCZ fue abrumado repetidamente. Entonces Sorgic tiene la oportunidad de hacer el 3-0 con su segundo gol y lograr la decisión preliminar. Pero Sorgic falla en Brecher, como falló después de unos segundos y nuevamente un poco más tarde.

En lugar de 3:0, es solo 2:1 unos segundos antes del pitido de descanso; El centrocampista del FCZ Ifeanyi Mathew marca el gol con un buen disparo de larga distancia. Pero la esperanza que lleva FCZ a la cabina durará poco tiempo.

El entrenador de FCZ, Bo Henriksen, está insatisfecho, el enérgico danés estaba muy enojado con sus jugadores cuando jugaban bien el balón, pero miró con impotencia a Lucerna en los momentos decisivos cuando Sorgic se impuso contra tres defensores o en el medio campo Max Meyer, quien tomó la delantera con el 10. gol de la temporada, pudo cambiar y gobernar a voluntad en cooperación con el destacado director Ardon Jashari. Henriksen reemplaza al defensor inadecuado Nikola Katic y trae a un tercer delantero en Roko Simic. Vano.

Apenas cuatro minutos después de la reanudación, Pius Dorn anotó el tercer gol del Lucerne, seguido poco después por el cuarto. La formación del 4:1 muestra cuán fácilmente el FC Luzern desmanteló al FCZ esa noche y cuán somnoliento FCZ defendió esa noche; el suplente Pascal Schürpf y Jashari juegan al gato y al ratón en el lateral, Dorn marca como si los jugadores del FCZ fueran de la nada.

Fue una de las mejores actuaciones de Lucerne esta temporada, a pesar de que Lucerne tuvo que jugar frente a casi 15.000 espectadores con una línea defensiva recién formada con una edad promedio de menos de 20 años. El equipo de Mario Frick ahora puede albergar ambiciones por un lugar en la Copa de Europa, mientras que el FCZ no puede repetir la buena actuación contra el FC Basel hace una semana y no pudo avanzar un paso más desde la parte inferior de la tabla.
«Perdimos todo lo que se necesitaba», dijo el capitán de FCZ Brecher después del partido, «estuvimos completamente fuera de juego, nuestra actuación fue, si se me permite decirlo, un completo desastre». Se le permite.