Con el permiso de un juez, la agencia de espionaje de Canadá se infiltró en servidores infectados, enrutadores domésticos y dispositivos de IoT en Canadá, deshabilitando dos botnets extranjeras.
El tribunal federal publicó la versión pública de su decisión el 15 de junio. Esta es la primera vez que la Agencia Canadiense de Inteligencia de Seguridad utiliza poderes de orden de mitigación de amenazas de esta manera.
Esta orden permite al CSIS alterar, degradar o destruir datos de botnets en máquinas infectadas y desconectar los dispositivos de la red.
Los objetivos eran servidores ubicados en Canadá, enrutadores para pequeñas oficinas y oficinas domésticas (SOHO) y dispositivos de Internet de las cosas (timbres, cámaras de seguridad, televisores y otros equipos habilitados para Wi-Fi).
La jueza Katherine Kane emitió la orden el 1 de mayo de 2024, la renovó en agosto del mismo año y emitió motivos confidenciales en febrero de 2026. La orden había estado oculta a la vista del público durante más de dos años hasta su publicación redactada este mes.
El CSIS necesitaba la orden porque sin ella, la redada probablemente habría sido un delito. El servicio requería la aprobación de un juez antes de tocar la máquina, ya que manipular el dispositivo de otra persona y borrar datos se tipifica como acto criminal contra daños informáticos.
El tribunal concluyó que la amenaza a Canadá estaba claramente establecida y era inminente, y que se tomaron las medidas necesarias, razonables y proporcionadas. El grupo enfatizó que la operación estaba dirigida a dispositivos, no a personas. No se investigaron las identidades de los usuarios, no se interceptó ningún contenido y no se destruyó accidentalmente ningún dato personal recopilado.
Las dos botnets ejecutaron un manual de retransmisión estándar. La capa de mando dio órdenes. Una capa de dispositivos infectados transmitió el tráfico. Al enrutarse a través de hardware canadiense secuestrado, los países extranjeros pueden sondear infraestructuras críticas, redes gubernamentales y militares mientras parecen ser conexiones regulares, teletrabajadores o clientes de ISP.
Los propietarios de timbres infectados serán responsables del tráfico que no enviaron. El tribunal designó al sector energético como objetivo y advirtió que los adversarios podrían dirigir botnets para investigar y alterar la infraestructura de Canadá.
Esta sentencia pública resuelve la cuestión de dos adversarios extranjeros, amenazas a la seguridad de Canadá, dejó claro el tribunal. ¿A quién es a quien despoja? Si bien el momento y los métodos son consistentes con un momento específico a principios de 2024, la agencia que publicó el fallo dijo que las razones redactadas no dicen si las dos botnets canadienses son chinas, ambas rusas o una de cada una. Se han descubierto las manos de una nación extranjera. La bandera está editada.
Mismas tácticas, diferente autoridad
El momento ocurrió durante un esfuerzo de eliminación de botnet ordenado por un tribunal en los Estados Unidos. En una operación de diciembre de 2023, el FBI utilizó el propio canal de comando de la botnet para eliminar el malware de la botnet KV de cientos de enrutadores SOHO de EE. UU. La mayoría de ellos eran cajas Cisco y NetGear al final de su vida útil utilizadas por el Bolt Typhoon, vinculado a China, para ocultar el acceso antes de una posible crisis dentro de los sistemas de comunicaciones, energía, agua y transporte de Estados Unidos.
Unas semanas más tarde, el grupo ruso GRU, APT28, llevó a cabo una operación casi similar contra otra red de enrutadores Ubiquiti que había convertido en un repetidor espía.
El Centro Cibernético Canadiense también se sumó a la advertencia de la coalición sobre el uso indebido de dispositivos SOHO e IoT por parte de agencias estatales. Ambas formas ordenadas por los tribunales son las mismas: equipos de consumo abandonados, operadores estatales y jueces aprobaron la desinfección remota.
La diferencia es quién tiene la orden. En la operación estadounidense participaron agencias policiales, el FBI y el Departamento de Justicia, que operaban bajo la autoridad de búsqueda e incautación.
La agencia de inteligencia de Canadá es una agencia de inteligencia que utiliza medidas de reducción de amenazas, que es el poder del CSIS no solo para recopilar información sobre las amenazas, sino también para frustrarlas de manera proactiva, escrito en la Ley del CSIS hace varios años, modificado en la Ley de Seguridad Nacional de 2017 e implementado en 2019. El CSIS nunca antes había recurrido a tales tácticas.
El viejo enrutador sigue siendo el culpable
La lección para los defensores es aburrida. Las botnets se aprovechan de equipos que nadie mantiene. Estos incluyen enrutadores al final de su vida útil que todavía están conectados a la red, kits de IoT que no han tenido su última actualización de firmware y aquellos con paneles de administración orientados a Internet y con credenciales predeterminadas.
La limpieza gubernamental no toca eso. En las operaciones de EE. UU., el malware se eliminó, pero las debilidades persisten, y un reinicio o un restablecimiento de fábrica pueden revertir las correcciones y reabrir la puerta a la reinfección. Es responsabilidad del propietario retirar el hardware defectuoso y bloquear lo que queda, no de la agencia que se hizo cargo de las consecuencias.
Un cabo suelto que el fallo público no termina es que la agencia explica que la aplicación se basa en direcciones IP que el CSIS recopiló sin una orden judicial, semanas después de que la Corte Suprema de Canadá dictaminara en R. v. Bykovets que las direcciones IP incluyen una expectativa razonable de privacidad.
Deje abierto si esto coincide con las autoridades de recolección del CSIS y si los propietarios de los dispositivos desinfectados fueron informados alguna vez.
Source link
