DNSChanger ha sido un malware muy mediático. Como
es costumbre, desde los medios generalistas se ha desinformado al usuario, y se
ha puesto el énfasis quizás en lo menos importante. Vamos a intentar destacar
lo que realmente nos parece relevante con respecto a este malware y, sobre todo,
analizar por qué el FBI ha actuado como lo ha hecho.
Todo comenzó a finales de 2011.
Se volvía a poner de "moda"
el malware DNSChanger. Con titulares como "Llega un virus alta peligrosidad "DNS Changer"" y
frases como "diversos organismos de
seguridad en Internet a nivel mundial han alertado de la peligrosidad del virus
DNS Changer, [...] de difícil erradicación en los ordenadores afectados."
Se acercaba la hora del supuesto apocalipsis. En aquel momento, nos dimos
cuenta que en VirusTotal había una especie de "revival" del mismo malware que, en 2008 era muy popular. En febrero lo comprobábamos y, 7 meses después, vuelve a ocurrir. La mayoría de
"DNSChangers" que llegan a
VirusTotal en estos momentos, ya lo hicieron en 2008.
La operación del FBI
Una vez detectados todos los
servidores DNS a los que redirigía a las víctimas, el FBI consiguió tomar el
control de estas máquinas e hizo que resolvieran a las direcciones correctas.
Esto significa que eliminó el principal
objetivo del malware y que, a efectos prácticos, los usuarios que tuvieran
modificados sus DNS, no experimentaban ningún síntoma. También les permitió
conocer con cierta exactitud el número de víctimas, puesto que solo tenían que
comprobar la cantidad de conexiones DNS establecidas en esos servidores.
Pasaron de 800.000 IPs únicas infectadas a mediados de 2011 a 250.000 el día previo al apagón.
Para el despliegue mediático que
se ha sufrido, estas cantidades nos parecen ridículas. Una vez más, si nos
fijamos en Zeus (el malware más popular, sofisticado a nivel de usuario, y
efectivo del momento) tenemos que Microsoft
estima que en marzo de 2012 existían 13 millones de sistemas infectados en
todo el mundo. Sin duda son muchos más, puesto que si algo tiene Zeus, es la
capacidad de no ser detectado. Si a esto unimos las infecciones de SpyEye u
otras botnets, DNSChanger queda en una anécdota.
¿Más datos? En mayo de 2011, abuse.ch publicó estas estadísticas.
Esta organización también toma el
control de ciertos servidores usados por los atacantes. Los llaman "sinkholes". Son servidores a los
que acude el malware a aprovisionarse de actualizaciones o bien a dejar datos
robados. Los servidores "sinkholed"
siguen respondiendo, pero lógicamente, no con la carga maliciosa. Así, sabiendo
el número de visitas a estos sinkholes, pueden determinar el número de
infectados. En esta gráfica vemos que, en
solo 24 horas, se podían observar botnets de más de medio millón de IPs nuevas
y únicas infectadas. Estos sistemas infectados, sin embargo, no suelen ser
tratados de ninguna forma ni, mucho menos, desconectados de Internet. ¿Qué hay detrás
del apagón a DNSChanger entonces? Lanzamos algunas teorías en la siguiente entrega.
Más información
How Big is Big? Some Botnet Statistics
DNS Changer – We’ll be redirecting customers
Last Day of DCWG Data
DNSChanger, una moda... ¿de 2008?
Microsoft Targets Zeus Botnets With Financial
Services Partners
Sergio de los Santos
Twitter: @ssantosv
