La Guardia Civil desmantela una botnet y detiene a tres españoles

La red de ordenadores zombis compuesta por 13 millones de ordenadores infectados se dedicaban a extraer y copiar los datos personales y financieros de más de los 800.000 ordenadores infectados, pertenecientes a particulares, empresas y organismos oficiales de 190 países

La Guardia Civil desmantela una botnet y detiene a tres españoles

3 marzo 2010

La Guardia Civil española, en colaboración con el FBI y Panda Security, ha detenido a tres ciudadanos españoles que controlaban cerca de 12,7 millones de ordenadores infectados, denominados «zombis», de los que obtenían datos personales y financieros con los que poder acceder a cuentas de correo electrónico, servicios de banca electrónica o a redes corporativas.

Por el número de ordenadores que la integraban, ésta quizá sea una de las botnets (redes de robots) más grandes que se haya detectado a nivel mundial. Con ella se podría haber realizado un ataque de ciberterrorismo muy superior a los realizados contra Estonia o Georgia en el pasado año, o más recientemente a Google con «Aurora». O a las malas, como mínimo podrían haber sido utilizados para sí o alquilarlos a bandas organizadas dedicadas al fraude.

La denominada «Botnet Mariposa» fue detectada en mayo del pasado año por técnicos de la empresa canadiense Defence Intelligence, quienes crearon un grupo de trabajo para su seguimiento, al que fueron invitados la empresa española Panda Security y el Georgia Tech Information Security Center. Paralelamente, el FBI inició una investigación sobre esta misma botnet, pudiendo averiguar que estaba implicado un ciudadano español, por lo que se puso en conocimiento de la Guardia Civil.

A partir de entonces se avanzó en la investigación de forma coordinada, lo que permitió conocer los vectores de infección de la botnet y sus canales de control de los ordenadores ajenos. Asimismo, se pudo determinar la existencia de un grupo de habla hispana, identificado como DDPteam, que había adquirido en el mercado libre del malware el troyano utilizado para atacar bancos y empresas químicas (en concreto el «ButterflyBot.A»). Christopher Davis, CEO de Defence Intelligence, explicaba que «sería más sencillo para mí dar una lista de las empresas del índice Fortune 1000 que no se han visto afectadas por esta amenaza, que dar el enorme listado de las que sí lo han sido».

Red de robots
Una botnet (red de robots) es un conjunto de ordenadores infectados con un programa malicioso, que están bajo control de su administrador o «botmaster». Para su funcionamiento coordinado, los ordenadores infectados, conocidos también como zombis, se conectan a un equipo que asume el «Command & Control» (C&C) desde donde se reciben y envían las correspondientes instrucciones.

Las botnets pueden ser utilizadas para robar información de los propios equipos o para el uso clandestino de los mismos (envío de spam, atacar a terceros equipos o provocar denegaciones de servicio –DoS-). El botmaster puede utilizar esa información para sí o alquilarla a terceros, muy habitual en bandas organizadas dedicadas al fraude bancario. Al principio, Mariposa se extendió aprovechando una vulnerabilidad en el navegador Internet Explorer de Microsoft, pero también utilizó puertas de entrada como unidades de almacenamiento extraíble (USB), MSN Messenger, y programas P2P que afectaban a Windows XP y sistemas anteriores.

El pasado mes de diciembre, identificados prácticamente todos los canales de control de esta botnet, se procedió de una forma coordinada a nivel internacional a bloquear los dominios que habían utilizado. Éstos se localizaban principalmente en dos prestadores de servicio americanos y uno español.

Como consecuencia de esta acción, probablemente como acto de venganza, se produjo un importante ataque de denegación de servicio a la empresa Defence Intelligence, afectando seriamente a un gran ISP (Proveedor de Acceso a Internet) y dejando sin conectividad durante varias horas a multitud de clientes, entre los que se encontraban centros universitarios y administrativos de Canadá.

Gente muy normal
Sin embargo, esta acción permitió conocer el resto de canales de control de la botnet, que finalmente han sido bloqueados, a falta de dos pequeños servidores que controlan muy pocos equipos informáticos. Tras el bloqueo de los dominios, se logró identificar al máximo responsable del DDPteam, que se autodenominaba indistintamente «Netkairo» o «Hamlet1917», procediéndose a su detención del joven de 31 años en su localidad de residencia, Balmaseda (Vizcaya), el pasado mes de febrero.

En el registro domiciliario se intervinieron varios equipos informáticos que están siendo analizados, en los que se encontraron numerosas evidencias de su actividad delictiva y de la identidad de otros miembros del grupo, lo que ha permitido que la pasada semana, se procediera a la detención de los otros dos españoles miembros del grupo, «OsTiaToR», de 25 años, en Santiago de Compostela (A Coruña), y «Johnyloleante», de 30 años, en Molina de Segura (Murcia). Se investiga la participación de un cuarto miembro del grupo, identificado como «Fénix», que podría ser venezolano, para lo que se han instado los canales de cooperación policial internacional para su identificación y detención. César Lorenza, capitán de la Guardia Civil, describe a los individuos como personas normales, sin antecedentes penales de ningún tipo, y nada ostentosos, «donde lo más aterrador es la ingente cantidad de dinero que pueden ganar sin levantar sospechas».

Todo ello ha sido posible por la coordinación de las actuaciones técnicas por parte de la red de control y alertas del fabricante de antivirus español Panda Security y la empresa de hosting CDmon han sido vitales para la investigación en coordinación con distintas fuerzas policiales internacionales y la Guardia Civil. «Los primeros análisis indicaron que los botmasters no tenía conocimientos avanzados de hacking. Esto resulta muy preocupante ya que demuestra lo sofisticado y efectivo que se ha vuelto el software de distribución de malware, que permite a criminales sin experiencia causar daños y pérdidas muy importantes», comentó Pedro Bustamante, Senior Research Advisor de Panda Security.

El pasado mes de noviembre ya fue detenido otro chaval menor de edad en Tenerife que se había hecho con el control de 75.000 ordenadores. Como venganza, envió más de doce millones de visitas simultáneas a la página de www.elhacker.net, colapsando los servidores de las mismas. El presunto autor de estos ataques carecía de cualquier instrucción académica en esta especialidad, pero venía desarrollando sus conocimientos desde los trece años de modo absolutamente individual y autodidacta.

Loading...
'); doc.close(); });