Por el número de ordenadores que la integraban se trata, probablemente, de una de las redes de robot, denominadas botnets, la mayor de las que se han detectado hasta el momento, según informó el jefe del Departamento de Delincuencia Tecnológica y Económica de la Guardia civil, José Antonio Berrocal, que explicó que con ella se podría haber realizado un ataque de ciberterrorismo muy superior a los acometidos hasta ahora contra Estonia o Georgia, primeros casos investigados en esta nueva modalidad de delito.

Los apresados utilizaban la red para obtener recursos económicos aunque disponían de una capacidad técnica muy superior, por lo que podrían haber realizado un ciberataque de mayores dimensiones, ya que no fueron capaces de ‘digerir’ el volumen de información adquiridos, según la Guardia Civil. Los datos obtenidos por los ahora detenidos podían haberlos utilizado para sí o alquilarlos a bandas organizadas dedicadas al fraude bancario.

‘Hemos tenido suerte de que la ‘botnet’ no ha sido utilizada para ningún interés estratégico, sino para robar información de los usuarios y accesos a redes. Su mentalidad delictiva no era muy grande, pero podían haber hecho mucho más’, dijo el jefe del Grupo de Delitos Telemáticos de la Guardia Civil, el comandante Juan Salom.

La red atacó alrededor de 200.000 equipos en España y a la mitad de las empresas más importantes del mundo según Forbes y 40 de los bancos más importantes. Los mandos policiales no quisieron revelar más información sobre las víctimas porque ‘muchas de ellas no saben que han sido infectadas’. ‘Que haya un ordenador infectado en una empresa y tengan datos, no significa que esté en peligro toda la entidad’, señalaron.

Más información de Defence Intelligence: Mariposa Botnet Analysis (PDF).

RED DE ROBOTS:

La denominada ‘Botnet Mariposa’ fue detectada en mayo del pasado año, cuando se produjeron las primeras infecciones, por técnicos de la empresa canadiense Defence Intelligence, quienes crearon un grupo de trabajo para su seguimiento, junto con la española Panda Security y el Georgia Tech Information Security Center. Paralelamente, el FBI inició una investigación sobre esta misma botnet, pudiendo averiguar que estaba implicado un ciudadano español, por lo que se puso en conocimiento de la Guardia Civil.

Más tarde se avanzó en la investigación de forma coordinada, lo que permitió conocer los vectores de infección de la botnet y sus canales de control de los ordenadores ajenos. Asimismo, se pudo determinar la existencia de un grupo de habla hispana, identificado como DDPTEAM, que había adquirido en el mercado del ‘malware’ (programas maliciosos) el troyano utilizado.

A las 17 horas del 23 de diciembre, identificados prácticamente todos los canales de control de esta botnet, se procedió de una forma coordinada a nivel internacional a bloquear los dominios que habían utilizado para evitar más ataques. Éstos se localizaban principalmente en dos prestadores de servicio americanos y uno español.

Como consecuencia de esta acción, probablemente como acto de venganza, los delincuentes pudieron recuperar parte de la red mariposa y produjeron un importante ataque de denegación de servicio a la empresa Defence Intelligence, afectando seriamente a un gran Proveedor de Acceso a Internet (ISP) y dejando sin conectividad durante varias horas a multitud de clientes, entre los que se encontraban centros universitarios y administrativos de Canadá. Esta acción permitió conocer el resto de canales de control de la botnet, que finalmente fueron bloqueados, a falta de dos pequeños servidores que controlan muy pocos equipos informáticos.

LOS DETENIDOS:

Ante el potencial riesgo del uso de esta red para un ataque de magnitudes importantes en cualquier parte del mundo y por la existencia de ciudadanos españoles involucrados, la Audiencia Nacional dirigió la investigación, instruyéndose diligencias previas en el Juzgado Central de Instrucción 5.

Tras el bloqueo de los dominios, a través de la infiltración en foros, se logró identificar al máximo responsable del grupo, que se autodenominaba ‘netkairo’ o ‘hamlet1917′, procediéndose a su detención en su localidad de residencia, Balmaseda (Vizcaya), el 3 de febrero.

En el registro domiciliario se intervinieron varios equipos informáticos que están siendo analizados, en los que se encontraron numerosas evidencias de su actividad delictiva y de la identidad de otros miembros del grupo, lo que permitió que la pasada semana se procediera a la detención de los otros dos españoles miembros del grupo, ‘OsTiaToR’, en Santiago de Compostela y ‘Johnyloleante’ en Molina de Segura (Murcia).

Los arrestados son F.C.R., de 31 años y residente en Balmaseda (Vizcaya); J.P.R., de 30 y residente en Molina de Segura (Murcia); y J.B.R., de 25 años y residente en Santiago de Compostela. Dos de ellos vivían con su novia y uno sólo. Ahora se encuentran en libertad con cargos.

Se investiga la participación de un cuarto miembro del grupo, identificado como ‘Fénix’, que podría ser venezolano, para lo que se ha instado a los canales de cooperación policial internacional colaboración para su identificación y detención. No se descartan más detenidos.

Los responsables de la operación señalaron que los arrestados vivían de la actividad delincuencial a través del fraude de la red de publicidad Google Adsense. Es decir, redireccionaban a todos los ordenadores infectados a publicidad de sus páginas propias, lo que les generaba beneficios. Aunque no eran ‘mileruristas’ tampoco se habían convertido en millonarios, según la Guardia Civil. Otra de sus fuentes de financiación fue el alquiler del parte del botnet a terceras personas, que aún se desconocen.

Los detenidos eran buenos conocedores de informática, pero no expertos. De hecho, habían comprado el botnet en el mercado negro, una máquina cuyo diseño es muy complejo. Además, alguna vez habían comprado también algunos programas con los que pudieran contratacar a los antivirus de las víctimas.

LA RED MARIPOSA:

Una botnet es un conjunto de ordenadores infectados con un programa malicioso, que están bajo control de su administrador o ‘botmaster’. Los usuarios se contagian a través de virus o troyanos que le llegan a través de enlaces de correos electrónicos, sistema P2P de intercambio de datos, chats y messenger. Según explicó el director técnico de Panda Security, Luis Corrons, el virus ‘zombi’ se transmite también a través de cualquier dispositivo USB, con el simple gesto de recargar un Ipod.

Para su control, los ordenadores infectados, conocidos como ‘zombies’ o ‘bots’ se conectan a un equipo llamado Command and Control (C&C), donde reciben instrucciones. Entre ellas, puedan realizar envíos masivos de spam, robo de datos de carácter personal, control de acceso a las redes sociales o ataques a determinadas empresas para que nieguen sus servicios, tal y como hicieron estos ‘ciberdelincuentes’ con Defense Intelligence.

En la actualidad existen entre 4.000 y 6.000 redes de ordenadores controladores y entre 60 y 100 millones de PC infectados. Para evitar caer en una de estas redes, el experto de Panda recomendó actualizar periódicamente los antivirus y el software, no ejecutar programas de fuentes desconocidas, desactivar el ‘autorun’ de los USB y realizar una navegación ‘responsable’.

Fuente: Terra.es

Extracto del blog Pandalabs donde se explica un poco más sobre el tema:

En Mayo de 2009, Defence Intelligence hizo público el descubrimiento de una nueva red de bots, bautizada como “Mariposa”. Además de la información facilitada en su momento, en ese momento se empezó un trabajo que ha durado meses, cuyo objetivo era acabar con una red criminal que estaba detrás de lo que iba a convertirse en una de las mayores redes de bots de la historia.

Lo primero que se hizo fue crear el Mariposa Working Group (MWG), del que forman parte Defence Intelligence, el Georgia Institute of Technology y Panda Security, junto a expertos de seguridad y agencias y cuerpos de seguridad de diferentes países, la idea era aunar fuerzas para tratar de eliminar la botnet y llevar a los criminales ante la justicia.

Una vez recogida toda la información, lo más importante era planificar cómo quitar el control de la red a los criminales que estaban detrás, así como poder identificarlos. Una vez localizados los diferentes paneles de control desde los que mandaban instrucciones a la red, pudimos ver qué tipo de actividades llevaban a cabo.  Principalmente se dedicaban a alquilar partes de la red de bots a otros criminales, robo de credenciales de los equipos infectados, cambio de resultados a los usuarios cuando utilizaban motores de búsqueda (Google, etc.), y mostrar popups de publicidad.

La finalidad, como podéis ver, era puramente económica. El grupo de delincuentes detrás de  Mariposa se hacía llamar DDP Team (Días de Pesadilla Team), información que logramos más tarde cuando debido a un error fatal pudimos descubrir a uno de los cabecillas de la banda.

Localizar a los criminales se volvió realmente complicado, ya que siempre se conectaban a los servidores de control de Mariposa a través de servicios anónimos de VPN (Virtual Private Network, Red Privada Virtual), lo que imposibilitaba localizar la dirección IP real que tenían, la mejor pista que nos podría llevar hasta ellos.

El día 23 de Diciembre de 2009, en una operación coordinada a nivel mundial, el Mariposa Working Group consiguió cortar el control de Mariposa al grupo de delincuentes. El líder de la banda, alias Netkairo, se puso nervioso e intentó entonces a toda costa recuperar el control de la red de bots. Como he comentado anteriormente, para conectarse a los servidores de control de Mariposa usaba servicios anónimos de VPN que impedían localizar su ubicación real, pero en una de las ocasiones en las que trataba de recuperar el control de la red de bots cometió un error fatal: se conectó directamente desde el ordenador de su casa y olvidó utilizar la VPN.

Netkairo finalmente consiguió recuperar el control de Mariposa, y a continuación lanzó un ataque de denegación de servicio contra Defence Intelligence utilizando todos los bots que tenía a su disposición. Este ataque afectó seriamente a un gran Proveedor de Acceso a Internet (ISP) y dejó sin conectividad durante varias horas a multitud de clientes, entre los que se encontraban centros universitarios y administrativos de Canadá.

Finalmente el Mariposa Working Group consiguió que el DDP Team perdiera de nuevo el acceso a Mariposa. Cambiamos la configuración DNS de los servidores a los que se conectaban los bots, de tal forma que pudimos en ese momento ver la cantidad de bots que estaban reportando. El resultado nos dejó helados, cuando vimos que más de 12 millones de direcciónes IP se estaban conectando y enviando información a los servidores de control, convirtiendo a Mariposa en una de las redes de bots más grandes de la historia.

El 3 de Febrero de 2010, la Guardia Civil procedió a la detención de Netkairo. Se trataba de F.C.R., español, de 31 años de edad. Tras su detención, las fuerzas de seguridad incautaron material informático, cuyo análisis forense llevó a la policía a localizar a otros 2 componentes de la banda, también españoles: J.P.R., de 30 años, alias “jonyloleante”, y  J.B.R., de 25 años, alias “ostiator”. Ambos fueron arrestados el 24 de Febrero de 2010.

Las víctimas de Mariposa están repartidas por todo el mundo, hay equipos comprometidos pertenecientes a usuarios domésticos, empresas, agencias gubernamentales y universidades de más de 190 países.  Para que nos hagamos una idea de hasta dónde llega la importancia de estas infecciones, basta con leer las declaraciones de Christopher Davis, CEO de Defence Intelligence: “Es mucho más rápido citar a las empresas del ranking Fortune que no han sido víctimas de Mariposa que hacer la larga lista de aquellas que sí se han visto afectadas”.

Los datos robados van desde información de cuentas bancarias, tarjetas de crédito, nombres de usuarios, passwords, etc. Sólo en el material informático incautado en el momento de la detención de 1 de los miembros del DDP Team, se han localizado datos robados pertenecientes a más de 800,000 usuarios.

Las fuerzas de seguridad aún están realizando análisis forenses sobre el material incautado, estudiando la información robada, pero los cálculos preliminares debido al fraude, robos financieros, pérdida de información y costes de limpieza se estiman en millones de dólares.

El análisis forense de los discos duros de Netkairo que está llevando a cabo la policía están revelando una compleja red de proveedores, que le ofrecían desde el hackeo de servidores para usarlos como servidores de control  de la red de bots, servicios de encriptación para hacer los bots indetectables por los antivirus, conexiones de redes virtuales privadas anónimas para el manejo de la botnet, etc.

Además, también tenían una compleja red de clientes, dispuestos a pagar por el alquiler de parte de la botnet, tarjetas de crédito robadas, o por la instalación de toolbars. La banda también se dedicaba al robo directo de dinero desde las cuentas robadas, utilizando muleros en Canadá y Estados Unidos, y para limpiar el dinero utilizaban juegos de póker online.

Una de las acciones que desde Panda hemos llevado a cabo es contactar con todas las compañías de antivirus, dando acceso a las muestras de los bots para que todos sean capaces de detectarlos, con lo que para saber si estás infectado con el bot basta con analizar el ordenador con una solución antivirus actualizada.

Podéis ver todas las claves de esta red en este video:

Mas información al respecto:  Link 1Link 2Link 3 (Defence Intelligence)

Tagged with:

Fichero archivado: Vulnerabilidades

Le gusto este articulo? Subscribete a mi RSS feed y obtener mas descargas!