El FBI ha identificado a un grupo ruso como posible responsable del ataque

Desde el Gobierno de Ucrania no sabían si el malware iba a actuar durante la final de la Champions que se celebra este sábado, o si se lo estaban guardando para activarlo durante el día de la constitución del país que se celebra el 28 de junio. Sin embargo, el FBI ya ha bloqueado el dominio que controlaba toda la botnet con más de 500.000 dispositivos infectados, y que podían hacer un ataque DDoS contra cualquier servicio, web o infraestructura y bloquearlo por completo.

El FBI dice que la botnet estaba bajo el control de un grupo ruso llamado Sofacy, apodado “cariñosamente” como Fancy Bear por el FBI. Este grupo es un viejo conocido de las autoridades, y creen que es el responsable de la filtración de la DNC durante las elecciones presidenciales de Estados Unidos de 2016.

El malware, que explotaba una vulnerabilidad en los routers y dispositivos NAS para tomar el control, se comunicaba con una infraestructura para coordinar sus acciones. Había dos formas de comunicación: a través de unas cuantas fotos que el grupo había subido a Photobucket, o a través de la URL ToKnowAll.com.

El dominio ha sido bloqueado, y las fotos eliminadas

A través de esas fotos o esa web, el router infectado descargaba e instalaba plugins que robaban credenciales o usaba los dispositivos conectados para atacar infraestructuras de red industriales, como la que utiliza la red eléctrica del país.

Por suerte, Photobucket ya ha eliminado esas fotos, y las autoridades han bloqueado el dominio. Según ha afirmado el FBI, el malware tenía que reconectarse a la infraestructura de red cada vez que se reiniciaba el router, por lo que tener el control del dominio bloquea la coordinación del malware y lo deja totalmente inutilizable.

Además, el FBI podrá ver qué direcciones IP se han intentado comunicar con la web, lo cual permitirá ver qué usuarios hay infectados para enviarle esa información a los operadores y que actúen consecuentemente. La mayoría podrán reiniciar el router de manera remota, mientras que otros enviarán mensajes para instar a los usuarios a que reinicien ellos mismos su router.

 

Fuente: Engadget | adslzone