Una nueva advertencia conjunta de ciberseguridad del FBI, la Fuerza de Misión Nacional Cibernética y la Agencia de Seguridad Nacional expone nueva actividad del actor de amenazas Flax Typhoon.
Los ciberatacantes han comprometido más de 260,000 enrutadores de Oficina en Casa/Oficina Pequeña (SOHO), firewalls, Almacenamiento Conectado a la Red y dispositivos de Internet de las Cosas para crear un botnet capaz de lanzar ataques de Denegación de Servicio Distribuido o ataques dirigidos a redes de EE. UU.
¿Quién es Flax Typhoon?
Flax Typhoon, también conocido como RedJuliett y Ethereal Panda, es un actor de amenazas con base en China activo desde al menos mediados de 2021, según Microsoft. El gigante tecnológico informó que Flax Typhoon ha atacado a organizaciones con sede en Taiwán, así como a otras víctimas en el sudeste asiático, Norteamérica y África con fines de ciberespionaje.
Según la advertencia conjunta del FBI, el grupo está detrás de una empresa con sede en China llamada Integrity Tech, que tiene conexiones con el gobierno chino.
Flax Typhoon ha utilizado varias direcciones IP diferentes del proveedor chino China Unicom Beijing Province para controlar y gestionar el botnet. El grupo también ha aprovechado estas direcciones para acceder a otras infraestructuras operativas utilizadas en operaciones de intrusión informática dirigidas a entidades estadounidenses.
Informes adicionales muestran que actores de amenazas con base en China han atacado empresas y gobiernos en todo el mundo en los últimos años.
Botnet ‘Raptor Train’
Black Lotus Labs, el equipo de inteligencia de amenazas de la empresa de ciberseguridad Lumen, publicó un informe sobre el compromiso de Flax Typhoon de enrutadores SOHO y otros dispositivos. Llamaron al botnet resultante de esa actividad “Raptor Train” y lo han estado rastreando durante cuatro años.
Los dispositivos afectados han sido comprometidos por una variante de la infame familia de malware Mirai, convirtiéndolo en un arma de elección para cualquier ciberdelincuente que busque comprometer dispositivos de IoT, ya que podrían modificar fácilmente el código para su propósito.
En la variante observada por el FBI, el malware automatiza el compromiso de varios dispositivos explotando vulnerabilidades conocidas. Las vulnerabilidades explotadas más antiguas datan de 2015, mientras que las más recientes ocurrieron en julio de 2024. Una vez comprometido, el dispositivo envía información del sistema y de la red a un servidor C2 controlado por el atacante.
Hasta septiembre de 2024, más de 80 subdominios de un dominio w8510.com estaban asociados con el botnet.
Lectura obligada sobre seguridad
Casi la mitad de los dispositivos afectados se encuentran en EE. UU.
En junio de 2024, los servidores de gestión que ejecutaban un software de front-end llamado “Sparrow”, que permitía a los atacantes controlar dispositivos comprometidos, contenían más de 1,2 millones de registros. Esto incluye más de 385,000 dispositivos únicos en EE. UU.
Un recuento de dispositivos infectados realizado en junio de 2024 reveló que casi la mitad (47.9%) de los dispositivos infectados se encontraban en EE. UU., seguido de Vietnam (8%) y Alemania (7.2%).
Recuento de dispositivos infectados por país en junio de 2024. Imagen: IC3.gov
Más de 50 sistemas Linux fueron comprometidos, que van desde versiones no admitidas y obsoletas hasta versiones admitidas actualmente, que ejecutan versiones del Kernel de Linux desde 2.6 hasta 5.4.
La interfaz de Sparrow permitía al actor de amenazas no solo listar dispositivos comprometidos, sino también gestionar vulnerabilidades y exploits, cargar o descargar archivos, ejecutar comandos remotos y adaptar ataques DDoS basados en IoT a escala.
Los dispositivos comprometidos por el botnet abarcan muchas marcas, incluidos enrutadores ASUS, TP-LINK o Zyxel. También se vieron afectadas cámaras IP, como las cámaras D-LINK DCS, Hikvision, Mobotix, NUUO, AXIS y Panasonic. También se dirigieron NAS de QNAP, Synology, Fujitsu y Zyxel.
El director del FBI, Christopher Wray, anunció en un discurso principal en la Cumbre Cibernética de Aspen 2024 que una autorización judicial permitió al FBI emitir comandos para eliminar el malware de los dispositivos infectados.
Cómo pueden protegerse las empresas de Flax Typhoon
El FBI recomienda que se tomen las siguientes acciones de inmediato:
Desactivar servicios y puertos no utilizados en enrutadores y dispositivos de IoT. Servicios como Plug And Play Universal o servicios de intercambio de archivos podrían ser abusados por los atacantes, por lo que todos los servicios deben desactivarse si no se necesitan.
Se debe implementar la segmentación de red para garantizar que los dispositivos de IoT no representen un riesgo mayor de compromiso. Se debe aplicar el principio de privilegio mínimo para que los dispositivos solo puedan realizar su función prevista.
Monitorear grandes volúmenes de tráfico de red. Las organizaciones deben estar preparadas para volúmenes de tráfico anormales que podrían ser ataques DDoS.
Implementar parches y actualizaciones para todos los sistemas operativos, software y firmware. La aplicación regular de parches mitiga la explotación de vulnerabilidades.
Reemplazar las contraseñas predeterminadas de los dispositivos por otras más seguras para que un atacante no pueda simplemente iniciar sesión a través de credenciales predeterminadas.
La agencia federal también sugirió que las empresas planifiquen reinicios de dispositivos, para eliminar malware sin archivos que pudiera ejecutarse en la memoria, y reemplacen equipos obsoletos por otros compatibles.