Un malware chino ha infectado 2.000 dispositivos en España, según el FBI
Una gran red de routers y otros dispositivos infectados por malware controlada por hackers chinos tiene también nodos en España, según un documento publicado este miércoles por el FBI en el que se alerta de todo tipo de dispositivos IoT que han podido caer en la red.
Una botnet llamada «Raptor Train» ha infectado a más de 260.000 dispositivos de red a lo largo de varios años, principalmente en Estados Unidos y Taiwán, pero también en otros países entre los que se encuentra España, con un porcentaje de afectación del 0,8%.
Las botnet son redes de ordenadores u otros dispositivos informáticos infectados por malware, que pueden ser controlados por un atacante de forma remota para robar datos, emitir ciberataques u otros propósitos.
Durante unos cuatro años, empezando a operar en mayo de 2020 y tras ser descubierta por primera vez en 2023, Raptor Train ha evolucionado hasta convertirse en una amplia red de varios niveles con un complejo sistema de control, que ha infectado a un gran número de routers SOHO y otros dispositivos de consumo como módems, NVR y DVR, cámaras IP y servidores de almacenamiento conectados a red (NAS). Los routers SOHO (siglas de Small Office/Home Office) son los routers comunes que suelen usarse en hogares u oficinas pequeñas.
Afectando principalmente a Estados Unidos, la botnet se ha utilizado para atacar a objetivos militares, gubernamentales, entidades de educación superior o de telecomunicaciones. Los investigadores de ciberseguridad creen que, en su punto más álgido, la botnet pudo tener bajo control más de 60.000 dispositivos simultáneamente, habiendo afectado a más de 200.000 dispositivos desde 2020.
En este contexto, el FBI estadounidense publicó este miércoles un documento en el que informa sobre esta amenaza, incluyendo un gráfico con el número de nodos de esta red detectados en distintos países. Un total de 19 países aparecen en la lista, y España queda en el último lugar con el menor número de nodos detectados, unos 2.000, lo que equivaldría a un 0.8% de toda la botnet. En toda Europa, el FBI cree que hay 65.600 dispositivos infectados en total.
Tras infectar los dispositivos, «los actores pueden entonces utilizar la botnet como un proxy para ocultar sus identidades mientras lanzan ataques distribuidos de denegación de servicio (DDoS) o comprometen redes específicas de Estados Unidos», advierten desde el FBI. Según creen, los atacantes son hackers ligados al gobierno chino.
Por continentes, los más afectados son, en este orden: América del Norte, Europa, Asia, África, Oceanía y América del Sur. Por arquitectura de procesador, los más afectados son los dispositivos x86 y los MIPS.
Consejos para mitigar la amenaza
Desde el FBI han recomendado unas siete prácticas con las que mitigar las amenazas planteadas por adversarios que intentan utilizar botnets para actividades maliciosas. «La siguiente guía se aplica tanto para evitar que los dispositivos IoT se conviertan en parte de una botnet, como para defender las redes de las botnets que ya están en funcionamiento», indican desde el servicio de seguridad norteamericano. Son estas:
- Deshabilitar servicios y puertos no utilizados
- Implementar segmentación de red
- Monitorear el tráfico de red alto
- Aplicar parches y actualizaciones
- Cambiar las contraseñas predeterminadas
- Planificar reinicios de dispositivos
- Reemplazar equipos obsoletos
Los servidores de administración desde los que se controla la botnet alojan una aplicación conocida como “Sparrow”, que permite a los usuarios interactuar con la red de dispositivos infectados, indican desde el FBI. Los actores usaban direcciones IP específicas registradas en China Unicom Beijing Province Network para acceder a esta aplicación.