jueves, 13 de junio de 2013

Microsoft desactiva 1.462 botnets Citadel

Microsoft junto con autoridades, industria financiera e ISPs de varios países, desactivaron el pasado día cinco de junio alrededor de 1.462 botnets utilizadas por Citadel. Las redes eran usadas para robar credenciales personales y bancarias de diversas entidades, y según Microsoft, afectaban a cinco millones de personas provocando más de medio millón de dólares en perdidas. Esta ha sido la séptima intervención de Microsoft contra una gran red zombi, que en la inmensa mayoría de los casos están compuestas por equipos Windows.

Microsoft y expertos forenses analizan evidencias
relacionadas con Citadel tras su detección en un
proveedor en New Jersey (Fuente:Microsoft)
Citadel es un kit de malware, variante directa de Zeus, que funciona fundamentalmente de la misma manera. Se instala en el sistema y lo añade a una botnet, cuyos miembros reciben instrucciones desde un centro de control para realizar acciones ilegales distribuidas como el envío de spam además de (sobre todo) inyectar código en las web bancarias legítimas para realizar transferencias no consentidas. Es una familia de malware muy utilizada a la hora de cometer fraude bancario.

La operación de nombre clave b54, se llevó a cabo el pasado 5 de junio. En ella participaron, además de Microsoft, la ABA (American Bankers Association) y NACHA (The Electronic Payments Association) entre otras asociaciones financieras y socios de Microsoft, junto al FBI. La investigación data de principios de 2012, culminando hace dos semanas, cuando finalmente Microsoft abrió diligencias civiles contra las personas detrás de las botnets Citadel, a las que se refiere como John Does 1-82.

El procedimiento ha sido muy similar a la última intervención contra la botnet Bamital el pasado febrero. Tras la demanda civil, el juzgado del distrito oeste de Carolina del Norte autorizó al gigante de Redmond para cortar las comunicaciones de las máquinas infectadas con las 1.462 botnets que las controlaban. Para las infraestructuras fuera de los EEUU, Microsoft y el FBI se han puesto en contacto con los CERTs y autoridades de varios países para que lleven a cabo acciones similares.

Tras la actuación, Microsoft utilizará la inteligencia recabada para alertar a los usuarios afectados de su infección. Usará para ello su programa Cyber Threat Intelligence Program. La nota de prensa no da muchos detalles técnicos de cómo se ha llevado a cabo la desactivación, pero los procedimientos anteriores indican que se han podido deshabilitar varias IPs pertenecientes a centros de control.

De hecho se han confiscado datos y servidores de dos servicios de alojamiento de Pensilvania y Nueva Jersey. Sobre los dominios, normalmente se ponen bajo monitorización. Una búsqueda de dominios usados por Citadel en ZeusTracker nos arroja resultados curiosos:


Desde el pasado miércoles, muchos de ellos han sido desactivados, y otros siguen activos pero esta vez apuntando a IPs pertenecientes a Microsoft, que aparece como el mayor hospedador de sitios relacionados con estas botnets.



Esto se debe a que parte del procedimiento no consistía en desactivar los dominios sino en cambiar la IP donde apunta a los servidores de Microsoft y ceder el control del dominio a esta a través de un cambio en los servidores de nombres (NSX.MICROSOFTINTERNETSAFETY.NET). En otras ocasiones además se han dado instrucciones especificas de qué hacer con estos dominios, como mantenerlos activos pero no ponerlos a la venta, por tanto es de esperar que se haya actuado de la misma forma.

La eficacia de estos movimientos

Tras la operación, sin embargo, queda siempre la amarga sensación de que estas operaciones sirven para "barrer el desierto". A corto plazo, el nivel desciende, pero la actividad y la producción es de tal calibre, que a pesar de desactivar 1.400 botnets (lo que puede suponer una cantidad muy elevada de equipos infectados) no supone un gran golpe a la actividad general de este malware.

No es la primera vez que se dan estas grandes operaciones que acaban desarticulando redes zombi. Microsoft ha participado en muchas "redadas" de este tipo, eliminando los servidores centrales que mantienen infectados a millones de ordenadores. Sin ir más lejos, ya actuó contra las botnet Zeus en 2012, con bastante éxito... pero su expansión ha continuado.

Más que el golpe técnico a las infraestructuras (con impacto limitado a largo plazo), lo positivo en este tipo de operaciones es comprobar que la colaboración y coordinación entre las distintas partes parece fluida y fructífera, algo fundamental contra el crimen organizado.

Más información:

Microsoft, financial services and others join forces to combat massive cybercrime ring

Domain Name Seizures Prominent in Dismantling the ZeuS botnet


Francisco López

2 comentarios:

  1. Si se pudieron identificar y desarticular 1400 Botnets, por que no utilizar esta misma infraestructura de redes Zombie para "Desinfecctar" las mismas? Ingenieria inversa contra la ingenieria inversa para una causa benefica.

    Ing. Alberto Torres
    CoPS DLC

    ResponderEliminar
  2. No soy muy dado a creer en conspiraciones; pero el hecho de que Microsoft haya sido necesaria para una operacion de este estilo y que no se hayan dado muchos detalles resulta preocupante, o como minimo sospechoso...
    ¿es que han necesitado de algo que solo sabe o tiene Microsoft?
    ¿quizá esos backdoors en el sistema q decian era una leyenda urbana?

    ResponderEliminar