25 de febrero de 2010

'Botnets', el lado oscuro de Internet

Febrero ha sido un mes prolífico para las botnets (robots de la Red), las redes de ordenadores zombis. Han pasado bruscamente de 4.000 a 6.000 en todo el mundo, según la Fundación Shadowserver, siguiendo una tendencia al alza que hace años que dura. Las redes de botnets se emplean para rentables negocios sucios, incluido el reciente ataque y espionaje contra empresas, descubierto la semana pasada por Net Witness, con más de 74.000 ordenadores bajo su control, 1.400 de ellos en España.

Una botnet se crea infectando ordenadores sin que sus propietarios lo sepan. Cada máquina reclutada por el virus se pone en contacto sigilosamente con el criminal a la espera de sus órdenes. Y así es como los investigadores han descubierto una forma de espiar estas redes: hacerse pasar por ordenadores infectados que acceden a ellas. Si hay suerte, incluso consiguen hablar con quienes las controlan.

Así conocimos a Moudi y Arz, dos genios del lado oscuro de la Red. Nos citan para hablar por Messenger, pero antes debemos llamar a un número de teléfono internacional y responder algunas preguntas que les demostrarán nuestra identidad. Después de la llamada, más confiados, explican que tienen 21 años y viven en Líbano. Se conocieron en un remoto chat y un día Arz propuso a Moudi trabajar juntos.Arz y Moudi se dedican a las botnets y al cibercrimen. Ellos lo llaman diversión. "Tengo bajo control estable miles de ordenadores, pero la mayoría ni los uso; los asalté para demostrar mi poder", explica Arz, quien a lo largo de la charla negará cobrar por ello. "La policía no puede hacerme nada si no lo hago por dinero y, además, no tienen idea de lo que tengo".

Son muy pocos los operadores de botnets encarcelados. Esconden sus localizaciones reales saltando a través de ordenadores comprometidos, de forma que la dirección que aparece en los registros es la de esas máquinas y no la suya. También son expertos en ocultar, dentro de los ordenadores, los programas que les permiten controlarlos, llamados bots.

Es un mundo cada día más complejo, donde actúan desde grandes organizaciones mafiosas hasta pequeños grupos de técnicos como el que forman Arz y Moudi, un amigo rumano y "el aprendiz". La función de estos técnicos es crear los virus e infectar las páginas que a su vez infectarán a sus visitantes; crear los programas para montar y gestionar las botnets, y administrarlas.

Sueldos de 100.000 al año

Los técnicos pueden trabajar en una organización o ir por libre. En este caso, venden o alquilan sus botnets a empresas que desean mandar correo basura, bombardear o espiar a otras empresas, o robar datos bancarios. "Un botmaster que se dedique a mandar spam gana entre 50.000 y 100.000 dólares al año", asegura Bernardo Quintero, de Hispasec.

También pueden vender o alquilar sus paquetes de webs infectadas o programas para crear botnets a otros que quieran construir la suya. El precio de un bot (programa para controlar los ordenadores de una botnet) en el mercado negro es de unos 1.000 dólares si es indetectable para los antivirus, y más de 3.000 para los sofisticados.

Hay best-sellers, como ZeuS, que permite crear una botnet personalizada: "Un grupo lo desarrolló, lo vendió y en la actualidad puede haber cientos o miles de botnets que lo usan", explica Quintero. ZeuS se dio a conocer en 2007 y actualmente hay variantes de él, como el troyano Kneber, con el que se creó la botnet de 74.000 ordenadores esclavos que identificó Net Witness.

El problema, dice David Barroso, de S21sec, es que en este mercado "existe confianza cero entre vendedor y comprador. Siempre hay el miedo de que el programa tenga una puerta trasera y se aprovechen de tu trabajo". Por eso, las grandes organizaciones prefieren tener técnicos propios que crean sus programas.

La originalidad en este campo no sale de aquí, sino de los grupos pequeños como el de Arz y Moudi, a los que Quintero califica de élite porque "desarrollan desde cero toda la botnet, desde los binarios y protocolos hasta los paneles de control. Son los que realmente innovan, y entre ellos los hay muy buenos".

El experto en virus Ero Carrera afirma: "Hay muy buenos ingenieros en países donde no hay industria y el cibercrimen es su forma de ganar dinero". Arz lo corrobora: "Aquí la vida no es tan simple, aquí Internet apesta, el Gobierno apesta, el trabajo apesta y a nadie le importa. Por suerte tenemos una cosa que nos gusta".

Las edades de estos jóvenes técnicos suelen estar entre los 16 y 25 años, explica Barroso. Actúan desde tres puntos geográficos: Brasil-México, China y Europa del Este. España es el campo de acción de estos últimos, aunque "también hay algunos botmasters españoles", advierte Quintero.

Las organizaciones los reclutan en los chats o "en foros privados donde ellos mismos venden sus códigos maliciosos", explica Barroso. Los clientes, que buscan a alguien que mande spam o bombardee a la competencia, usan la misma forma de contacto: "Una compañía que lo necesite sabrá cómo encontrarte en el chat", explica Arz.

La red de Pushdo

Para las empresas que no quieran buscar a informáticos en oscuros chats, hay también "comerciales" que alquilan sus servicios. Arz dice tener amigos dedicados a esto, pero "trabajan por su cuenta", asegura. Su pequeño grupo, dice, vive alejado del lado más comercial.

"Algunas organizaciones tras las botnets son mafias que sólo quieren dinero", afirma Arz. Estas mafias suelen manejar las redes más grandes, con decenas de miles de ordenadores esclavos, como Pushdo, en activo desde 2007 y responsable del envío de casi 8.000 millones de correos basura al día, según Trend Micro, o la red descubierta por Net Witness, que ha espiado a 2.400 empresas de todo el mundo.

Las grandes organizaciones las lleva gente de más edad, dedicada sobre todo a la gestión y a las finanzas. Su estructura básica está jerarquizada: una o más personas escriben los programas maliciosos, otras asaltan e infectan las webs, otras controlan la o las botnets y, ya fuera del ámbito técnico, hay "comerciales" y responsables del manejo del dinero.

La creciente complejidad de estas redes se centra sobre todo en el aspecto financiero: "Hay personas que buscan y gestionan las mulas (que transfieren el dinero robado a las cuentas de los criminales) y otras encargadas de vender o alquilar los datos, las máquinas y webs infectadas", enumera Barroso. Sigue Quintero: "Otros se dedican a la venta o explotación física de números de tarjetas y al blanqueo del dinero".

Para Arz, las botnets son un trabajo fácil: "La Red es insegura en un 98%, pero la gente sólo tiene la culpa de un 10%, el resto es porque las empresas desarrollan programas inseguros".

Echar el anzuelo y esperar

Ingredientes para crear botnets: un virus, un kit de programas para manejarlos y un informático. El secreto está en colocar el virus en páginas con muchas visitas: "Una vez vimos una botnet con más de 11.000 páginas comprometidas. Cada usuario de Windows que las visitaba con un navegador desactualizado quedaba automáticamente infectado. En dos días consiguió 90.000 afectados", dice Quintero.

El virus puede mandarse por correo electrónico, aunque lo habitual es ponerlos en las páginas. Después es cuestión de esperar a que la gente pique. Una vez dentro del ordenador, el virus descargará un programa y lo instalará: es el bot, el lazo entre el ordenador infectado y la net, la red que permite su control remoto. En una hora, afirma Arz, "se pueden reclutar miles de ordenadores".

El botmaster lo observa todo desde su panel de Comando y Control: ve en tiempo real los ordenadores que entran en la botnet, los que salen porque sus dueños los han desinfectado, estadísticas por origen geográfico, sistemas operativos, contraseñas y datos bancarios. A través del mismo panel, el botmaster manda órdenes a los ordenadores esclavos.

Es una tarea que puede hacer una sola persona desde su casa, con un ordenador y una conexión normal. A veces, un mismo técnico controla dos o tres botnets a la vez. "El trabajo duro es desarrollar los programas; la gestión es más llevadera", afirma Quintero. Aún así, es un trabajo full time: 15 horas diarias o más, según Barroso. "Cuando están realizando un ataque masivo, le dedican mucho tiempo. Ahora es un trabajo profesional". El programa de Comando y Control de la botnet puede tener una interfaz gráfica o ser una simple ventana de chat, en el caso de los más antiguos. La segunda generación son los programas que funcionan por web, más difíciles de espiar y desactivar. Las máquinas infectadas se conectan con el botmaster a través del protocolo HTTP, que la mayoría de los cortafuegos dejan pasar. La tercera generación usa el protocolo P2P, sin nodos centralizados y, por tanto, casi imposible de clausurar.

0 comentaris:

Publicar un comentario

Twitter Facebook Favorites

 
Design by NewWpThemes | Blogger Theme by Lasantha - Premium Blogger Themes | New Blogger Themes