Grupo cibercriminal explota vulnerabilidades en Dispositivos de Internet de las cosas (IoT) luego obtenga una ganancia considerable poniéndolos a la venta en un mercado de proxy residencial, donde pueden ser convertidos en botnets proxy por amenazas persistentes avanzadas (APT) patrocinadas por el estado y otros actores maliciosos.
La pandilla, apodada “Water Barghest”, ya ha comprometido más de 20.000 dispositivos IoT, incluidos Enrutadores para pequeñas oficinas y oficinas domésticas (SOHO) utilizados por empresasutilizando scripts automatizados para identificar y comprometer dispositivos vulnerables, según nueva búsqueda de Trend Micro. El actor de amenazas, que ha estado operando durante más de cinco años (en gran medida fuera del radar debido a una sofisticada estrategia de automatización), descubre dispositivos IoT vulnerables en bases de datos públicas de análisis de Internet como Shodan, señalaron los investigadores.
Una vez que Water Barghest compromete los dispositivos, implementa un malware propietario llamado Ngioweb para registrar el dispositivo como proxy, que es una red que sirve de intermediario entre un cliente y un servidor. Water Barghest luego pone el dispositivo a la venta en un mercado proxy residencial para que otros delincuentes lo compren.
Todo el proceso cibercriminal de esclavizar a un objetivo toma sólo 10 minutos, “lo que indica una operación altamente eficiente y automatizada”, escribieron en el artículo los investigadores de Trend Micro Feike Hacquebord y Fernando Mercês.
Vender dispositivos proxy como modelo de negocio de ciberdelincuencia
De hecho, existe un fuerte incentivo para que los actores motivados tanto por el espionaje como por las finanzas creen botnets proxy para ayudarles a ocultar los orígenes de sus actividades maliciosas; Rusia gusano de arenapor ejemplo, recientemente utilizó el Red de bots VPNFilter Y cíclope parpadea en las actividades contra ucrania que fueron difíciles de alcanzar durante algún tiempo antes de que finalmente fueran interrumpidos por el FBI, según Trend Micro.
“Estos [botnets] puede servir como una capa de anonimización, que puede proporcionar direcciones IP geolocalizadas de manera plausible para extraer contenido de sitios web, acceder a activos en línea robados o comprometidos y lanzar ataques cibernéticos”, escribieron los investigadores.
Los actores maliciosos pueden encontrar cualquier dispositivo IoT que acepte conexiones entrantes en la Internet abierta utilizando servicios de escaneo públicos, lo que les facilita comprometer aquellos con vulnerabilidades conocidas o incluso de día cero para su uso futuro en actividades maliciosas, escribieron. Esto facilita que actores malos como Water Barghest los exploten para obtener ganancias financieras y cometer mayores abusos, agregaron.
Descubra la esquiva botnet de operación cibernética a la venta
Trend Micro descubrió las operaciones de Water Barghest durante una investigación sobre la interrupción del servicio por parte del Departamento de Justicia. una botnet de inteligencia militar rusa este grupo de amenaza patrocinado por el estado ruso oso de fantasía (también conocido como APT28) utilizado para ciberespionaje global.
Los investigadores examinaron los dispositivos EdgeRouter que habían sido utilizados por Sandworm y finalmente descubrieron el malware y la botnet Ngioweb de Water Barghest. La infraestructura del grupo había estado operativa durante más de cinco años, pero había logrado evadir la detección por parte de los investigadores de seguridad y las autoridades “debido a su rigurosa seguridad operativa y su alto grado de automatización”, escribieron los investigadores.
“Eliminaron silenciosamente archivos de registro de sus servidores y dificultaron el análisis forense”, escribieron. “Eliminaron el error humano de sus operaciones al automatizar casi todo. También eliminaron la trazabilidad financiera mediante el uso de criptomonedas para pagos anónimos”.
Water Barghest automatiza cada paso del proceso de 10 minutos, desde la búsqueda inicial de dispositivos IoT vulnerables hasta su puesta a la venta en un mercado proxy residencial. El grupo primero adquiere exploits conocidos para detectar vulnerabilidades de los dispositivos, luego utiliza consultas de búsqueda en una de las bases de datos de escaneo de Internet disponibles públicamente para encontrar dispositivos vulnerables y sus direcciones IP. Luego utiliza un conjunto de direcciones IP del centro de datos para probar exploits contra dispositivos IoT potencialmente vulnerables.
Cuando uno de ellos funciona, los dispositivos IoT comprometidos descargan un script que se ejecuta a través de muestras de malware Ngioweb compiladas para diferentes arquitecturas de Linux. Cuando una de las muestras se ejecuta exitosamente, Ngioweb se ejecuta en la memoria del dispositivo IoT de la víctima, lo registra con un servidor de comando y control (C2) y luego, opcionalmente, lo envía para que se incluya en un mercado de la Dark Web.
Water Barghest tiene alrededor de 17 identidades en servidores privados virtuales que escanean continuamente enrutadores y dispositivos IoT en busca de vulnerabilidades conocidas y también descargan malware Ngioweb en dispositivos IoT recién comprometidos. De esta manera, Water Barghest ha gestionado un negocio rentable “durante años, con las direcciones IP de los empleados cambiando lentamente con el tiempo”, según el análisis de Trend Micro.
Protección del enrutador SOHO: limite la exposición a la Internet pública
Trend Micro espera que el mercado comercial de servicios de proxy residencial y el mercado de proxy clandestino crezca en los próximos años debido a la alta demanda de las APT y los grupos de cibercriminales financieros. Este crecimiento supondrá “un desafío para muchas empresas y organizaciones gubernamentales de todo el mundo” para protegerse contra las capas de anonimización detrás de las cuales se esconden estos grupos, escribieron los investigadores.
Aunque la policía estaba eficaz para interrumpir las botnets proxyEs mejor ir directamente a la fuente para combatir el problema, y esto se puede hacer abordando la seguridad de los dispositivos IoT. De hecho, estos dispositivos son notoriamente hackeableplanteando un problema para las organizaciones que deben gestionar redes cada vez más grandes.
“Es importante [for organizations] …para implementar medidas de mitigación para evitar que su infraestructura se convierta en parte del problema en sí”, escribieron los investigadores. Pueden hacer esto, agregaron, limitando la exposición de estos dispositivos a las conexiones de acceso entrante a Internet cuando no es así. esencial para el negocio.