22/06/09 - 02/10 11:04:21
LO QUE LAS "BOTNETS" ESCONDEN
Mercè Molist
Febrero
ha sido un mes prolífico para las "botnets" o redes de ordenadores
"zombie". Han pasado bruscamente de 4.000 a 6.000 en todo el mundo,
según la Fundación Shadowserver, siguiendo una tendencia al alza que
hace años que dura. Se usan para rentables negocios sucios, incluído el
ataque y espionaje contra empresas, como la "botnet" que ha descubierto
la consultora NetWitness, con más de 74.000 ordenadores bajo su
control. Pero, ¿quién las maneja desde la sombra?
Una "botnet"
se crea infectando ordenadores sin que sus propietarios lo sepan. Cada
máquina reclutada por el virus se pone en contacto sigilosamente con el
criminal a la espera de sus órdenes. Y así es como los investigadores
han descubierto una forma de espiar estas redes: hacerse pasar por
ordenadores infectados que acceden a ellas. Si hay suerte, incluso
consiguen hablar con quienes las controlan.
Así conocimos a
Moudi y Arz, dos genios del lado oscuro de la red. Nos citan para
hablar por Messenger pero, antes, debemos llamar a un número de
teléfono internacional y responder algunas preguntas que les
demostrarán nuestra identidad. Después de la llamada y ya más
confiados, explican que tienen 21 años y viven en Líbano. Se conocieron
en un remoto chat y, un día, Arz propuso a Moudi trabajar juntos.
Desde
entonces se dedican a las "botnets" y el cibercrimen. Ellos lo llaman
su forma de divertirse: "Tengo bajo control estable miles de
ordenadores, pero la mayoría ni los uso, los asalté para demostrar mi
poder", explica Arz, quien a lo largo de la charla negará cobrar por
ello: "La policía no puede hacerme nada si no lo hago por dinero y,
además, no tienen idea de lo que tengo".
Son muy pocos los
operadores de "botnets" que las fuerzas de la ley pueden detener.
Esconden sus localizaciones reales saltando a través de ordenadores
comprometidos, de forma que la dirección que aparece en los registros
es la de esas máquinas y no la suya. También son expertos en ocultar,
dentro de los ordenadores, los programas que les permiten controlarlos,
llamados "bots".
Es un mundo cada día más complejo, donde actúan
desde grandes organizaciones mafiosas hasta pequeños grupos de técnicos
como el que forman Arz, Moudi, un amigo rumano y otro al que llaman su
aprendiz. La función de estos técnicos es crear los virus e infectar
las páginas web que luego infectarán a sus visitantes; crear los
programas para montar y gestionar las "botnets", y administrarlas
(quien lo hace recibe el nombre de "botmaster").
Los técnicos
pueden trabajar dentro de una organización o ir por libre. En este
caso, venden o alquilan sus "botnets" a empresas que quieran mandar
correo basura, bombardear o espiar a otras empresas, robar datos
bancarios. "Un botmaster que se dedique a mandar spam gana entre 50.000
y 100.000 dólares al año", asegura Bernardo Quintero, de Hispasec
Sistemas.
También pueden vender o alquilar sus 'packs' de webs
infectadas o programas para crear "botnets" a otros que quieran
construir la suya. El precio de un "bot" (programa para controlar los
ordenadores de una "botnet") en el mercado negro es de unos pocos
euros, 1.000 dólares si es indetectable para los antivirus y más de
3.000, los sofisticados.
Hay incluso best-sellers, como el 'kit'
Zeus, que permite crear una "botnet" personalizada: "Un grupo lo
desarrolló, lo vendió y en la actualidad puede haber cientos o miles de
botnets que lo usan", explica Quintero. Zeus se dio a conocer en 2007 y
actualmente hay variantes del mismo, como el troyano Kneber, con el que
se creó la "botnet" de 74.000 ordenadores esclavos que ha identificado
NetWitness.
El problema, dice David Barroso, de S21sec, es que
en este mercado "existe confianza cero entre vendedor y comprador,
siempre hay el miedo de que el programa tenga una puerta trasera y se
aprovechen de tu trabajo". Por eso, las grandes organizaciones
prefieren tener técnicos propios que crean sus programas.
Pero
la originalidad en este campo no sale de aquí sino de los grupos
pequeños como el de Arz y Moudi, a los que Quintero califica de élite
porque "desarrollan desde cero toda la botnet, desde los binarios y
protocolos hasta los paneles de control. Son los que realmente innovan
y entre ellos hay muy buenos expertos".
El experto en virus
Ero Carrera afirma: "Hay muy buenos ingenieros en países donde no hay
industria y el cibercrimen es su forma de ganar dinero". Arz lo
corrobora: "Aquí la vida no es tan simple, aquí Internet apesta, el
gobierno apesta, el trabajo apesta y a nadie le importa. Por suerte
tenemos una cosa que nos gusta".
Las edades de estos jóvenes
técnicos suelen estar entre los 16 y 25 años, explica Barroso. Actúan
desde tres puntos geográficos: Brasil/México, China y Europa del Este.
España es el campo de acción de estos últimos, aunque "también hay
algunos "botmasters" españoles", asegura Quintero.
Las
organizaciones los reclutan en los chats o "en foros privados donde
ellos mismos venden sus códigos maliciosos", explica Barroso. Los
clientes, que buscan a alguien que mande "spam" o bombardee a la
competencia, usan la misma forma de contacto: "Una compañía que lo
necesite sabrá cómo encontrarte en el chat", explica Arz.
Para
las empresas que no quieran buscar a informáticos en oscuros chats, hay
también "comerciales" que alquilan los servicios de las "botnets". Arz
dice tener amigos dedicados a esto pero, asegura, "trabajan por su
cuenta". Su pequeño grupo, dice, vive alejado del lado más comercial.
"Algunas
organizaciones tras las botnets son mafias que sólo quieren dinero",
afirma Arz. Estas mafias suelen manejar las redes más grandes, con
decenas de miles de ordenadores esclavos; como Pushdo, en activo desde
2007 y responsable del envío de casi 8.000 millones de correos basura
al día, según Trend Micro; o la red descubierta por NetWitness, que ha
espiado a 2.400 empresas de todo el mundo.
Las grandes
organizaciones las lleva gente de mayor edad, dedicada sobre todo a la
gestión y finanzas. Su estructura básica está jerarquizada: una o más
personas escriben los programas maliciosos, otras asaltan e infectan
las webs, otras controlan la o las "botnets" y, ya fuera del ámbito
técnico, hay "comerciales" y responsables del manejo del dinero.
La
creciente complejidad de estas redes se centra sobre todo en el aspecto
financiero: "Hay personas que buscan y gestionan las "mulas" (quienes
transfieren el dinero robado a las cuentas de los criminales) y otras
encargadas de vender o alquilar los datos, las máquinas y webs
infectadas", enumera Barroso. Sigue Quintero: "Otros se dedican a la
venta o explotación fisica de números de tarjetas y al blanqueo del
dinero".
Para Arz, las "botnets" son un trabajo fácil porque "la
red es insegura en un 98%, pero la gente sólo tiene la culpa de un 10%,
el resto es porque las empresas hacen programas inseguros". Y asegura
sentir cierta pena por sus víctimas: "La mayor parte de veces me gusta
lo que hago, pero otras me pongo en el sitio del usuario al que estoy
asaltando y me doy cuenta de lo malo que es que la empresa en la que
confías y usas sus programas te esté poniendo en peligro".
CÓMO SE CREA UNA BOTNET
Los
ingredientes para crear una "botnet" son: un virus, un "kit" de
programas para manejar "botnets" y uno o más técnicos informáticos. El
secreto está en colocar el virus en páginas con muchas visitas: "Una
vez vimos una botnet con más de 11.000 páginas web comprometidas. Cada
usuario de Windows que las visitaba con un navegador desactualizado
quedaba automáticamente infectado. En dos días consiguió más de 90.000
afectados", explica Bernardo Quintero.
El virus puede mandarse
también por correo electrónico, aunque la tendencia es ponerlos en
páginas web. Después, es cuestión de esperar sentado a que la gente se
infecte. Una vez dentro del ordenador, el virus descargará un programa
y lo instalará de forma subrepticia: es el "bot", el lazo de unión
entre el ordenador infectado y la "botnet", que permite su control
remoto. En una hora, afirma Arz, "se pueden reclutar miles de
ordenadores".
El "botmaster" lo observa todo desde su panel de
"Comando y Control": puede ver en tiempo real los nuevos ordenadores
que entran en la "botnet" y los que salen porque sus dueños los han
desinfectado, estadísticas por orígenes geográficos, sistemas
operativos, contraseñas y datos bancarios recopilados. A través del
mismo panel, el "botmaster" manda órdenes a los ordenadores esclavos.
Es
una tarea que puede hacer una sola persona desde su casa, con un
ordenador y una conexión normales. A veces, un mismo técnico controla
dos o tres "botnets" a la vez. "El trabajo duro es desarrollar los
programas, la parte de gestión de la botnet es más llevadera", afirma
Quintero.
Aún así, es un trabajo "full-time": quince horas
diarias o más, asegura David Barroso, "sobre todo cuando están
realizando un ataque masivo porque le dedican mucho tiempo y mimo, se
lo toman en serio. Antiguamente era algo más 'light' pero ahora es un
trabajo profesional".
El programa de "Comando y Control" de la
"botnet" puede tener una interfície gráfica o ser una simple ventana de
chat, en el caso de los más antiguos: los ordenadores infectados se
conectan al canal de chat que se les indica y el "botmaster" les da
órdenes a través de comandos de chat.
La segunda generación son
los programas que funcionan por web, más difíciles de espiar y
desactivar. Las máquinas infectadas se conectan con el "botmaster" a
través del protocolo HTTP, que la mayoría de cortafuegos dejan pasar
sin problemas. La tercera generación usa el protocolo P2P, sin nodos
centralizados y, por tanto, casi imposible de clausurar. Además, se le
añaden técnicas de cifrado para el envío de órdenes a los "bots", de
forma que nadie las pueda espiar o tergiversar.
LOS NEGOCIOS DE LAS BOTNETS
Las
"botnets" se usan mayoritariamente para el envío masivo de correo
basura y virus, el bombardeo contra empresas y el espionaje, sea de
empresas o de la información bancaria de los dueños de los ordenadores
infectados. En casos como el envío de "spam", el espionaje o el
bombardeo a empresas, para chantajearlas o mermarlas ante la
competencia, el cliente contacta con la "botnet" y le encarga el
trabajo.
En cuanto al robo de información bancaria a
particulares, la "botnet" suele robarla por iniciativa propia y después
la vende en el mercado negro. El propio programa de la "botnet" la
recopila automáticamente: cada ordenador infectado tiene su ficha con
los datos que se le han espiado, como números de cuenta y contraseñas.
Otro
popular método de sacar rentabilidad a las "botnets" es el "click
fraud", que se aprovecha de los anunciantes que pagan un porcentaje a
los propietarios de sitios web, por cada persona que pincha en sus
"banners". El fraude consiste en crear una página cualquiera, poner en
ella algunos anuncios legales y hacer que todos los ordenadores de la
"botnet" los visiten.
"A efectos prácticos, en las estadísticas
se verá que los clics provienen de cientos o miles de direcciones IP
diferentes, repartidas por todo el mundo, y por tanto parecerá que son
usuarios legítimos y no una estafa", explica Bernardo Quintero. Así, el
anunciante pagará el porcentaje convenido.
Algo parecido sucede
con las empresas que pagan a quien se instale programas que muestran
publicidad ("adware"). El "botmaster" los instala a todos los
ordenadores de su "botnet" y cobra el dinero. "En muchos casos la
empresa contratante, que en una ocasión fue una importante entidad
bancaria española, no lo sabe", explica Quintero, aunque en otros,
según el "Washington Post", la empresa publicitaria es consciente de
ello.
Fundación Shadowserver
http://www.shadowserver.org/wiki/
Una red roba datos clave de 74.000 ordenadores en el mundo
http://www.elpais.com/articulo/sociedad/red/roba/datos/clave/74000/ordenadores/mundo/elpepusoc/20100219elpepisoc_2/Tes
La botnet Pushdo ataca más de 300 de los mayores sitios web del mundo
http://www.csospain.es/La-botnet-Pushdo-ataca-mas-de-300-de-los-mayores-sitios-web-/seccion-alertas/noticia-89744
Copyright 2009-2010 Mercè Molist.
Verbatim
copying, translation and distribution of this entire article is
permitted in any digital and no commercial medium, provide this notice
is preserved.
<<