[HACK] Lo que las botnets esconden
merce
illadeltresor at gmail.com
Mon Mar 22 11:41:31 CET 2010
escrito 22/06/09 11:04:21 - actualizado 02/10
LO QUE LAS "BOTNETS" ESCONDEN
Mercè Molist
Febrero ha sido un mes prolífico para las "botnets" o redes de
ordenadores "zombie". Han pasado bruscamente de 4.000 a 6.000 en
todo el mundo, según la Fundación Shadowserver, siguiendo una
tendencia al alza que hace años que dura. Se usan para rentables
negocios sucios, incluído el ataque y espionaje contra empresas,
como la "botnet" que ha descubierto la consultora NetWitness, con
más de 74.000 ordenadores bajo su control. Pero, ¿quién las maneja
desde la sombra?
Una "botnet" se crea infectando ordenadores sin que sus propietarios
lo sepan. Cada máquina reclutada por el virus se pone en contacto
sigilosamente con el criminal a la espera de sus órdenes. Y así es
como los investigadores han descubierto una forma de espiar estas
redes: hacerse pasar por ordenadores infectados que acceden a ellas.
Si hay suerte, incluso consiguen hablar con quienes las controlan.
Así conocimos a Moudi y Arz, dos genios del lado oscuro de la red.
Nos citan para hablar por Messenger pero, antes, debemos llamar a un
número de teléfono internacional y responder algunas preguntas que
les demostrarán nuestra identidad. Después de la llamada y ya más
confiados, explican que tienen 21 años y viven en Líbano. Se
conocieron en un remoto chat y, un día, Arz propuso a Moudi trabajar
juntos.
Desde entonces se dedican a las "botnets" y el cibercrimen. Ellos lo
llaman su forma de divertirse: "Tengo bajo control estable miles de
ordenadores, pero la mayoría ni los uso, los asalté para demostrar
mi poder", explica Arz, quien a lo largo de la charla negará cobrar
por ello: "La policía no puede hacerme nada si no lo hago por dinero
y, además, no tienen idea de lo que tengo".
Son muy pocos los operadores de "botnets" que las fuerzas de la ley
pueden detener. Esconden sus localizaciones reales saltando a través
de ordenadores comprometidos, de forma que la dirección que aparece
en los registros es la de esas máquinas y no la suya. También son
expertos en ocultar, dentro de los ordenadores, los programas que
les permiten controlarlos, llamados "bots".
Es un mundo cada día más complejo, donde actúan desde grandes
organizaciones mafiosas hasta pequeños grupos de técnicos como el
que forman Arz, Moudi, un amigo rumano y otro al que llaman su
aprendiz. La función de estos técnicos es crear los virus e infectar
las páginas web que luego infectarán a sus visitantes; crear los
programas para montar y gestionar las "botnets", y administrarlas
(quien lo hace recibe el nombre de "botmaster").
Los técnicos pueden trabajar dentro de una organización o ir por
libre. En este caso, venden o alquilan sus "botnets" a empresas que
quieran mandar correo basura, bombardear o espiar a otras empresas,
robar datos bancarios. "Un botmaster que se dedique a mandar spam
gana entre 50.000 y 100.000 dólares al año", asegura Bernardo
Quintero, de Hispasec Sistemas.
También pueden vender o alquilar sus 'packs' de webs infectadas o
programas para crear "botnets" a otros que quieran construir la
suya. El precio de un "bot" (programa para controlar los ordenadores
de una "botnet") en el mercado negro es de unos pocos euros, 1.000
dólares si es indetectable para los antivirus y más de 3.000, los
sofisticados.
Hay incluso best-sellers, como el 'kit' Zeus, que permite crear una
"botnet" personalizada: "Un grupo lo desarrolló, lo vendió y en la
actualidad puede haber cientos o miles de botnets que lo usan",
explica Quintero. Zeus se dio a conocer en 2007 y actualmente hay
variantes del mismo, como el troyano Kneber, con el que se creó la
"botnet" de 74.000 ordenadores esclavos que ha identificado NetWitness.
El problema, dice David Barroso, de S21sec, es que en este mercado
"existe confianza cero entre vendedor y comprador, siempre hay el
miedo de que el programa tenga una puerta trasera y se aprovechen de
tu trabajo". Por eso, las grandes organizaciones prefieren tener
técnicos propios que crean sus programas.
Pero la originalidad en este campo no sale de aquí sino de los
grupos pequeños como el de Arz y Moudi, a los que Quintero califica
de élite porque "desarrollan desde cero toda la botnet, desde los
binarios y protocolos hasta los paneles de control. Son los que
realmente innovan y entre ellos hay muy buenos expertos".
El experto en virus Ero Carrera afirma: "Hay muy buenos ingenieros
en países donde no hay industria y el cibercrimen es su forma de
ganar dinero". Arz lo corrobora: "Aquí la vida no es tan simple,
aquí Internet apesta, el gobierno apesta, el trabajo apesta y a
nadie le importa. Por suerte tenemos una cosa que nos gusta".
Las edades de estos jóvenes técnicos suelen estar entre los 16 y 25
años, explica Barroso. Actúan desde tres puntos geográficos:
Brasil/México, China y Europa del Este. España es el campo de acción
de estos últimos, aunque "también hay algunos "botmasters"
españoles", asegura Quintero.
Las organizaciones los reclutan en los chats o "en foros privados
donde ellos mismos venden sus códigos maliciosos", explica Barroso.
Los clientes, que buscan a alguien que mande "spam" o bombardee a la
competencia, usan la misma forma de contacto: "Una compañía que lo
necesite sabrá cómo encontrarte en el chat", explica Arz.
Para las empresas que no quieran buscar a informáticos en oscuros
chats, hay también "comerciales" que alquilan los servicios de las
"botnets". Arz dice tener amigos dedicados a esto pero, asegura,
"trabajan por su cuenta". Su pequeño grupo, dice, vive alejado del
lado más comercial.
"Algunas organizaciones tras las botnets son mafias que sólo quieren
dinero", afirma Arz. Estas mafias suelen manejar las redes más
grandes, con decenas de miles de ordenadores esclavos; como Pushdo,
en activo desde 2007 y responsable del envío de casi 8.000 millones
de correos basura al día, según Trend Micro; o la red descubierta
por NetWitness, que ha espiado a 2.400 empresas de todo el mundo.
Las grandes organizaciones las lleva gente de mayor edad, dedicada
sobre todo a la gestión y finanzas. Su estructura básica está
jerarquizada: una o más personas escriben los programas maliciosos,
otras asaltan e infectan las webs, otras controlan la o las
"botnets" y, ya fuera del ámbito técnico, hay "comerciales" y
responsables del manejo del dinero.
La creciente complejidad de estas redes se centra sobre todo en el
aspecto financiero: "Hay personas que buscan y gestionan las "mulas"
(quienes transfieren el dinero robado a las cuentas de los
criminales) y otras encargadas de vender o alquilar los datos, las
máquinas y webs infectadas", enumera Barroso. Sigue Quintero: "Otros
se dedican a la venta o explotación fisica de números de tarjetas y
al blanqueo del dinero".
Para Arz, las "botnets" son un trabajo fácil porque "la red es
insegura en un 98%, pero la gente sólo tiene la culpa de un 10%, el
resto es porque las empresas hacen programas inseguros". Y asegura
sentir cierta pena por sus víctimas: "La mayor parte de veces me
gusta lo que hago, pero otras me pongo en el sitio del usuario al
que estoy asaltando y me doy cuenta de lo malo que es que la empresa
en la que confías y usas sus programas te esté poniendo en peligro".
CÓMO SE CREA UNA BOTNET
Los ingredientes para crear una "botnet" son: un virus, un "kit" de
programas para manejar "botnets" y uno o más técnicos informáticos.
El secreto está en colocar el virus en páginas con muchas visitas:
"Una vez vimos una botnet con más de 11.000 páginas web
comprometidas. Cada usuario de Windows que las visitaba con un
navegador desactualizado quedaba automáticamente infectado. En dos
días consiguió más de 90.000 afectados", explica Bernardo Quintero.
El virus puede mandarse también por correo electrónico, aunque la
tendencia es ponerlos en páginas web. Después, es cuestión de
esperar sentado a que la gente se infecte. Una vez dentro del
ordenador, el virus descargará un programa y lo instalará de forma
subrepticia: es el "bot", el lazo de unión entre el ordenador
infectado y la "botnet", que permite su control remoto. En una hora,
afirma Arz, "se pueden reclutar miles de ordenadores".
El "botmaster" lo observa todo desde su panel de "Comando y
Control": puede ver en tiempo real los nuevos ordenadores que entran
en la "botnet" y los que salen porque sus dueños los han
desinfectado, estadísticas por orígenes geográficos, sistemas
operativos, contraseñas y datos bancarios recopilados. A través del
mismo panel, el "botmaster" manda órdenes a los ordenadores esclavos.
Es una tarea que puede hacer una sola persona desde su casa, con un
ordenador y una conexión normales. A veces, un mismo técnico
controla dos o tres "botnets" a la vez. "El trabajo duro es
desarrollar los programas, la parte de gestión de la botnet es más
llevadera", afirma Quintero.
Aún así, es un trabajo "full-time": quince horas diarias o más,
asegura David Barroso, "sobre todo cuando están realizando un ataque
masivo porque le dedican mucho tiempo y mimo, se lo toman en serio.
Antiguamente era algo más 'light' pero ahora es un trabajo
profesional".
El programa de "Comando y Control" de la "botnet" puede tener una
interfície gráfica o ser una simple ventana de chat, en el caso de
los más antiguos: los ordenadores infectados se conectan al canal de
chat que se les indica y el "botmaster" les da órdenes a través de
comandos de chat.
La segunda generación son los programas que funcionan por web, más
difíciles de espiar y desactivar. Las máquinas infectadas se
conectan con el "botmaster" a través del protocolo HTTP, que la
mayoría de cortafuegos dejan pasar sin problemas. La tercera
generación usa el protocolo P2P, sin nodos centralizados y, por
tanto, casi imposible de clausurar. Además, se le añaden técnicas de
cifrado para el envío de órdenes a los "bots", de forma que nadie
las pueda espiar o tergiversar.
LOS NEGOCIOS DE LAS BOTNETS
Las "botnets" se usan mayoritariamente para el envío masivo de
correo basura y virus, el bombardeo contra empresas y el espionaje,
sea de empresas o de la información bancaria de los dueños de los
ordenadores infectados. En casos como el envío de "spam", el
espionaje o el bombardeo a empresas, para chantajearlas o mermarlas
ante la competencia, el cliente contacta con la "botnet" y le
encarga el trabajo.
En cuanto al robo de información bancaria a particulares, la
"botnet" suele robarla por iniciativa propia y después la vende en
el mercado negro. El propio programa de la "botnet" la recopila
automáticamente: cada ordenador infectado tiene su ficha con los
datos que se le han espiado, como números de cuenta y contraseñas.
Otro popular método de sacar rentabilidad a las "botnets" es el
"click fraud", que se aprovecha de los anunciantes que pagan un
porcentaje a los propietarios de sitios web, por cada persona que
pincha en sus "banners". El fraude consiste en crear una página
cualquiera, poner en ella algunos anuncios legales y hacer que todos
los ordenadores de la "botnet" los visiten.
"A efectos prácticos, en las estadísticas se verá que los clics
provienen de cientos o miles de direcciones IP diferentes,
repartidas por todo el mundo, y por tanto parecerá que son usuarios
legítimos y no una estafa", explica Bernardo Quintero. Así, el
anunciante pagará el porcentaje convenido.
Algo parecido sucede con las empresas que pagan a quien se instale
programas que muestran publicidad ("adware"). El "botmaster" los
instala a todos los ordenadores de su "botnet" y cobra el dinero.
"En muchos casos la empresa contratante, que en una ocasión fue una
importante entidad bancaria española, no lo sabe", explica Quintero,
aunque en otros, según el "Washington Post", la empresa publicitaria
es consciente de ello.
Fundación Shadowserver
http://www.shadowserver.org/wiki/
Una red roba datos clave de 74.000 ordenadores en el mundo
http://www.elpais.com/articulo/sociedad/red/roba/datos/clave/74000/ordenadores/mundo/elpepusoc/20100219elpepisoc_2/Tes
La botnet Pushdo ataca más de 300 de los mayores sitios web del mundo
http://www.csospain.es/La-botnet-Pushdo-ataca-mas-de-300-de-los-mayores-sitios-web-/seccion-alertas/noticia-89744
Copyright 2009-2010 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any digital and no commercial medium,
provide this notice is preserved.
More information about the hacking
mailing list