El ataque de los zombies lepidópteros

La última película del mundo virtual es de miedo y tiene todos los ingredientes para aterrorizarnos: zombies, infectados, tres malvados manipulando máquinas para lograr sus propósitos, un virus extendido a nivel mundial y, lo peor de todo, que es posible que una de las víctimas seas tú.

Cuando en Mayo de 2009 Defence Intelligence (empresa de seguridad canadiense) anunció la detección de una botnet masiva en internet llamada Mariposa, se puso en marcha todo un dispositivo para eliminar esta red que suponía una amenaza para servidores, empresas y usuarios particulares de internet: el MWG (Mariposa Working Group). Este proyecto estaba formado por la propia Defence Intelligence, el Georgia Institute of Technology, Panda Security y expertos en seguridad de diversos países. El objetivo era anular la influencia de la botnet e identificar a aquellos que se encontraban tras ella únicamente conocidos hasta ese momento por sus pseudónimos (Netkairo, Jonyloleante y Ostiator) y que conformaban el grupo Días De Pesadilla (DDP Team). Tras 8 meses de intenso trabajo, finalmente, durante una intervención, listaron el número aproximado de ordenadores infectados por el malware que conformaban la citada red y el asombro fue mayúsculo: Mariposa contaba con más de 12 millones de zombies a lo largo de todo el planeta ya fuesen usuarios particulares o empresas, lo que la convertía en una de las mayores botnets de la historia. Infectar un equipo era relativamente fácil dado que simplemente era necesaria la instalación de un programa malware en el ordenador a esclavizar y esto podía venir a través de redes P2P, dispositivos USB, enlaces MSN y, en definitiva, cualquier método a través del cuál se pudiese introducir información en el sistema. Una vez infectado, el usuario podía seguir trabajando con normalidad sin percatarse de nada mientras por detrás podían estar utilizándo su hardware y software para cualquier propósito de interés propio.

Pantallazo de datos aleatorios para darle caché a mi artículo.

En resumen, Mariposa era una gigantesca bestia de más de 12 millones de ip’s controladas por un solo usuario que podía disponer de ellas a su antojo. Esta inmensa malla de esclavos era divida en varias subredes para poder controlarlos de manera más efectiva y poder efectuar las operaciones pertinentes con mayor sencillez. Estas podían ser spam (aparición de pop-ups, alteraciones en los resultados de los motores de búsqueda), robo de datos (números de tarjetas de crédito, passwords), ataques a servidores (DDos) así como cualquier otra actividad ilegal que fuese susceptible de ser realizada. Pero si algo demuestra el carácter exclusivamente lucrativo de todos sus movimientos, es el hecho de que los creadores de la red la alquilasen por fragmentos a otros delincuentes a cambio de una suma económica para que estos realizasen sus propias fechorías.

Pese a tener bien identificada la estructura de Mariposa y conocer todos sus movimientos, el rastreo de las personas operándola resultaba prácticamente imposible debido a que la conexión se realizaba desde una VPN y esto borraba cualquier rastro de la dirección IP que utilizaba. Esto fue así hasta el 23 de Diciembre de 2009, fecha en la que el MWG consiguió hacerse momentáneamente con el control de la botnet mediante un movimiento organizado a escala mundial contando, entre otros, con la ayuda del FBI y la Guardia Civil española. Ocurrido esto, Netkairo, líder del grupo DDP, intentó de cualquier manera posible volver a controlar la red pero, en un momento de nerviosismo y tensión, olvidó conectarse a través de una de las VPN. Este error anuló los obstáculos que le blindaban de cara a la localización por parte del MWG y entonces el rastro fue claro y definido. Ya contaban con su IP y sólo era cuestión de tiempo que fuese identificado a partir de los registros de su proveedor local de internet. Aun así, en venganza por haber intentando robarle el control de la red, se lanzó un ataque DDos desde gran parte de los ordenadores controlados por Netkairo hacia Defence Intelligence que bloqueó un importante proveedor de acceso a internet dejando sin servicio durante varias horas a muchos clientes, centros universitarios y administrativos canadienses.
Estructura de un ataque DDoS

Arquitectura de un ataque DDoS

De todos modos, a partir de aquí se supo la ubicación real desde la que se operaba y, por ende, su identidad. La detención por parte de las autoridades no se hizo esperar. El 3 de Febrero la Guardia Civil efectuó este movimiento y se incautó de material informático que llevó a la detención de los otros dos integrantes del grupo, Jonyloleante y Ostiator. Dos datos a resaltar, son que ninguno de los tres detenidos eran profesionales y siquiera habían diseñado la botnet, si no que la habían comprado en el mercado negro y que en España se contabilizan aproximadamente 200.000 ordenadores infectados. Este dato despierta muchas dudas. ¿He sido infectado por el malware? ¿Es mi ordenador parte de Mariposa? ¿Tendrán mis datos bancarios y/o personales? La respuesta a esto la ha dado Panda Security anunciando que ha suministrado muestras de los bots a todas las compañías de antivirus para que las añadan a su base de datos y, tras una nueva actualización, puedan ser capaces de identificarlas y borrarlas.

A continuación este chaval tan majo nos hará un resumen de todo y nos comentará algún detalle adicional. Por favor, un aplauso para Luis Corrons de Panda Security.

Lexicón

  • Malware: Es un programa de ordenador que se infiltra en el sistema sin que el usuario propietario lo sepa con el principal propósito de dañarlo. Si el malware sirve para acceder al control de dicho ordenador, éste toma el nombre de zombie.
  • Zombie: Se llama así a un ordenador que ha sido infectado por un programa de malware y es manejado por un usuario externo.
  • Bot: Es un software instalado en un zombie que sirve para ejecutar tareas rutinarias.
  • Botnet: Es una palabra compuesta por bot y net (“red” en inglés) y se utiliza para referirse a un montón de ordenadores zombies que ejecutan bots que están conectados entre sí formando una red privada.
  • VPN: Son las siglas para “red privada virtual”. Es una tecnología que permite que una red privada de origen local se extienda a través de internet y tenga la posibilidad de ser conectada desde equipos remotos y, físicamente, fuera de dicha red.
  • DDoS: De nuevo más siglas. En este caso significan “ataque distribuido de denegación de servicio”. Este ataque se realiza saturando un determinado servidor mediante el envío masivo de solicitudes que bloquean el ancho de banda disponible y así provocar la inaccesibilidad a este servicio.
  • Spam: Información propagada de manera viral y reiterada anunciando cualquier tipo de artículo o propósito mediante bombardeo masivo de mails, posts en foros o bots. Se suele distribuir mediante listas de correos electrónicos facilitados por páginas webs especializadas en recopilar estos sin conocimiento o consentimiento por parte del propietario.
  • IP: Número único de identificación en internet. Cada ordenador conectado a la red obtiene una IP que puede ser fija (siempre la misma) o dinámica (cambia con cada nuevo acceso). Las empresas que prestan servicios de conexión a internet tienen listada la IP asignada a cada usuario para que pueda ser identificado en caso de necesidad.

Fuentes

31 comentarios
  1. Itsi cari magic
    Itsi cari magic Dice:

    “Pantallazo de datos aleatorios para darle caché a mi artículo.”

    AKJAHJKAHJAHAJHAHAKJHAKJAHKJAHAKJHAJKHAKJ

    Buen articulo, a mi jamas me enviaron algo como esto, solo miles de cadenas que decian que tubiera cuidado xD.

    Responder
  2. ToniBoy
    ToniBoy Dice:

    Ayer escuché por la radio que hablaban de este tema, y no entendí un carajo. Ahora si.
    Un artículo muy interesante

    Responder
  3. kanfor
    kanfor Dice:

    Excelente artículo, y muy instructivo.
    La moreleja es que si manejas datos bancarios… uses LINUX.

    Yo uso Windows, y me gusta, pero no se me ocurriría manejar cuentas bancarias desde él.

    Existen distribuciones de Linux LiveCD, que permiten ejecutarse en la RAM (como el PuppyLinux) y desde él es casi imposible que obtengan datos nuestros. Lo recomiendo.

    Responder
  4. Jesús
    Jesús Dice:

    Muy buen post, hace pensar que si un grupo de solamente 3 personas que ni siquiera crearon el programa ellos mismos pudieron hacer tremendo alboroto, que pasará cuando un grupo de personal que realmente saben que es lo que están haciendo y tienen un fin claro pongan manos a la obra? que NO podrían hacer?

    Chale :S

    Responder
  5. ch32
    ch32 Dice:

    excelente articulo, bueno, yo afortunadamente no he tenido problemas con virus, tengo mucho cuidado aunque ni se necesita tanto, eso de “haz clic en mis fotos: sitioconmuchomalware.com/infectate.exe” es demasiado obvio, lastima por la gente que cayó y le dio poder a “Mariposa”

    Responder
  6. Soul
    Soul Dice:

    Vaya que es interesante, ayer lo vi en el noticiero, pero el idiota se centro mas en explicar que es un troyano y en decir “Para evitar esto preguntale a la persona con la que te te esta habñando si el archivo no tiene virus” que en decir realmente como funcionaba y quienes eran los perpetradores.

    Responder
  7. Cm_Blast
    Cm_Blast Dice:

    “Pantallazo de datos aleatorios para darle caché a mi artículo.”

    Y se lo dió se lo dió xD, este pie de foto me ha hecho olvidar hasta de lo que iba el artículo xD.

    Responder
  8. Pateasuelos
    Pateasuelos Dice:

    Pues hace 2 dias yo traia un escalofrio por todo el cuerpo, ahora que veo el articulo me doy cuenta de que posiblemente soy un zombi.

    Y mi mama que queria que yo estudiara medicina.

    Responder
  9. Elias
    Elias Dice:

    @Kanfor yo de hecho me voy a instalar Linux en el mio o Solaris en mi PCpara trabajar pero me estoyt emiendo cagarla con la particion xD

    Responder
  10. Marcos Vives Del Sol
    Marcos Vives Del Sol Dice:

    Esto es algo que a mí nunca me puede pasar.

    A parte del firewall del Router, el NAT (en el que sólo tengo abierto un puerto), tengo algo que nunca falla…

    Y es que mi router tiene función de syslog. Todas, absolutamente todas las conexiones TCP, UDP y ICMP que pasan por mi router son reportadas a mi ordenador 😀

    Si tienes un router TCW710 marca Thomson (los da Ono), puedes activarlos en http://192.168.0.1/RgFirewallRL.asp (por defecto, el nombre de usuario en blanco y de contraseña “admin”)

    Responder
  11. Vault-Tec CEO
    Vault-Tec CEO Dice:

    Interesantísimo artículo, Adrián. Te doy las gracias además por avisarnos de que podríamos estar infectados.

    La verdad es que yo creía que este post era ficción completa, hasta que apareció Luis Corrons. Algunas cosas todavía no acabo de creérmelas… Es que tantas empresas de seguridad detrás de unos españoles, ¡¿el FBI?!, ¡¿12 millones de infectados?!, la solemne estupidez que delató al tipo… es de risa!

    Responder
  12. Adrian
    Adrian Dice:

    @Vault-Tec CEO
    Sí. Realmente parece una ficción. Tanto las desproporcionadas cifras, como la manera en que se delató Netkairo o el hecho de que ya siquiera es necesario cierto “expertise” al teclado para traer de cabeza a medio planeta y la pericia es suplida por un eficiente software programado por terceros. Ciertamente increíble

    @todos
    Muchas gracias por vuestros comentarios! 🙂

    Responder
  13. l34ndr0
    l34ndr0 Dice:

    buena data,por suerte solo uso la pc para huevear y plata para comprar algo via internet no tengo asi que lo maximo que pueden hacerme es hackearme el fb y la verdad puedo vivir sin el =D

    Responder
  14. phyr
    phyr Dice:

    Dos datos a resaltar, son que ninguno de los tres detenidos eran profesionales y siquiera habían diseñado la botnet, si no que la habían comprado en el mercado negro

    -> WTF? Uno se da cuenta de que esto significa que CUALQUIER persona puede destrozar el internet sin tener conocimientos profundos de esta?

    Responder
  15. Teniente Riley
    Teniente Riley Dice:

    Jajajaja sensacional, buen curro de Panda y la guardia civil. 🙂 Lo ultimo que me faltaba es que mi PC fuese un zombie del inframundo! 🙂

    Responder
  16. Juanka
    Juanka Dice:

    ¡Bravo! ¡Fantástico el artículo!

    Yo creo haber sufrido ese problema. Los resultados de la búsqueda en Google se veían modificados, y lo que es más divertido: cuando encontrabas al archivo “responsable” y buscabas en internet cómo eliminarlo… ¡no te abría la página!

    Espectacular putadón xD

    Responder
  17. Momar
    Momar Dice:

    Supongo que ahora irán tras el(los) creador(es) del bot.

    Por cierto, con alias como Jonyloleante y Ostiator estaba claro que eran españoles. XD

    La historia supera con creces cualquier película (excepto a Juegos de Guerra, claro ;)). Sólo espero que cuando la hagan (porque seguro que la hacen) no la caguen… mucho…

    De ilusión también se vive.

    Responder
  18. mindmaster
    mindmaster Dice:

    eso asunta 13 millones de pc a mi disposicion mmmmmmmm se me sale la M con pensar en esa poder.

    cuantos años les vendran encima a los que crearon esta botnet eh

    Responder
  19. Fede
    Fede Dice:

    yo hace años que no habro mi mail(los mail no el msn) tengo cerca de 3000 mensajes, dicen q saturo la red y q haria un bien a la humanidad borrando eso pero pfff.

    asi que solo quedan usb’s, no tengo.

    los juegos traen malwares? como el gta 4 bajado de taringa?

    Responder

Trackbacks y pingbacks

  1. […] Here is the original:  El ataque de los zombies lepidópteros » Pixfans […]

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *