SecurityFocus publica una interesante entrevista con uno de los creadores de Mpack. Mpack es una infraestructura PHP creada para automatizar y centralizar ataques web. Genera exploits que, alojados en servidores web comprometidos, infecta a quien los visite eligiendo el fallo adecuado según el software que use la víctima. En un servidor centralizado monitoriza a los infectados y elabora estadísticas de éxito. La entrevista desvela algunos secretos sobre los creadores de esta herramienta de moda.
Mpack es la herramienta detrás del ataque a gran escala contra webs europeas que afectó a miles de usuarios (y webs) a mediados de junio. Hispasec tuvo acceso a este servidor y descubrió que una web española estaba infectando a un gran número de usuarios. SecurityFocus ha conseguido el contacto ICQ (a través de un anuncio en la web) de uno de los creadores de la herramienta, un tal DCT. Después de dos semanas de conversaciones, publica en forma de entrevista los detalles más significativos que aquí a su vez destacamos y resumimos. Nuestras aclaraciones aparecen entre corchetes.
Según DCT, el proyecto (llevado por tres personas fijas y algunos esporádicos) comenzó en junio de 2006 como herramienta personal, pero no fue hasta septiembre de ese año que se convirtió en producto comercial [la versión 0.90 se vende ya por 1.000 dólares]. Comenzó en ruso, pero cada vez son más los «clientes» de otros países interesados en él. En parte DCT «agradece» a las compañías antivirus la «publicidad gratuita» realizada a Mpack.
Para implementar su producto, mejoran los exploits públicos y estudian el material «in the wild» para incorporar nuevas formas de aprovechar vulnerabilidades. A veces incluso invierten, pagando por nuevas vulnerabilidades. Según DCT, un fallo en Internet Explorer con buena capacidad para ser aprovechado puede costar 10.000 dólares. Aun así Mpack es rentable, no demasiado comparado con otras actividades en la red, pero rentable. Mientras lo sea se mantendrá vivo, y lo mejorarán todo lo que puedan (haciendo que se infecte el mayor número de personas posible con mejores exploits). Además tienen otros proyectos en mente. En cualquier caso, se muestra preocupado por la fama del producto, que puede llevar a que sea cerrado algún día ante el mayor riesgo de ser detenidos.
Para quien compra y usa Mpack, sí que es una herramienta muy rentable. Según DCT sus clientes consiguen grandes beneficios con él. Se cuentan por cientos de miles los servidores infectados (con el famoso iframe que apunta al servidor Mpack central) que, al ser visitados, infectan a su vez a los usuarios vulnerables.
A DCT no le gusta que le llamen «cibermafia». Se definen como un grupo de personas que trabajan juntos y que hacen algunos negocios ilegales. Tienen trabajos legítimos, y se ocupan de proyectos como Mpack en sus ratos libres. [Otra historia es quiénes sean los que utilizan este pack para atacar, que sí que pueden pertenecer a la industria del malware]
Ante la pregunta de si se «compadecía» de los usuarios infectados gracias a su herramienta, responde: «Bueno, siento que somos como una fábrica que produce munición».
Por último, ofrece un sabio consejo: el uso de Opera sin scripts ni plugins activos [cabe recordar que Mpack aprovecha (sobre Windows) vulnerabilidades en IE, en plugins de Firefox y plugins en versiones antiguas de Opera] puede librarte de caer infectado ante alguna vulnerabilidad distribuida a través de Mpack.
ssantos@hispasec.com
Más información:
Newsmaker: DCT, MPack developer
http://www.securityfocus.com/news/11476/1
21/06/2007 Resaca del ataque masivo a través de webs comprometidas
http://www.hispasec.com/unaaldia/3162
19/06/2007 Alerta: Ataque a gran escala contra webs europeas afecta a
miles de usuarios
http://www.hispasec.com/unaaldia/3160
Deja un comentario