El que amaguen les “botnets”

Compartir

SeguretatFebrer ha estat un mes prolífic per a les "botnets" o xarxes d’ordinadors "zombie". Han passat bruscament de 4.000 a 6.000 a tot el món, segons la Fundació Shadowserver, seguint una tendència a l’alça que fa anys que dura. Són emprades per a rendibles negocis bruts, inclòs l’atac i espionatge contra empreses, com la "botnet" que ha descobert la consultora NetWitness, amb més de 74.000 ordinadors sota el seu control. Però, qui les fa anar des de l’ombra?

Mercè Molist – Una "botnet" es crea infectant ordinadors sense que els seus propietaris ho sàpiguen. Cada màquina reclutada pel virus es posa en contacte sigil·losament amb el criminal a l’espera de les seves ordres. I així és com els investigadors han descobert una manera d’espiar aquestes xarxes: fer-se passar per ordinadors infectats que accedeixen a elles. Si hi ha sort, fins i tot aconsegueixen parlar amb els qui les controlen.

Així vam conèixer a Moudi i Arz, dos genis del canto fosc de la xarxa. Ens citen per parlar per Messenger però, abans, hem de trucar a un número de telèfon internacional i respondre algunes preguntes que els demostraran la nostra identitat. Després de la trucada i ja més confiats, expliquen que tenen 21 anys i viuen al Líban. Es van conèixer en un remot xat i, un dia, Arz va proposar a Moudi treballar plegats.

Des de llavors ençà es dediquen a les "botnets" i el cibercrim. Ells en diuen la seva manera de divertir-se: "Tinc sota control estable milers d’ordinadors, però la majoria ni els uso, els vaig assaltar per demostrar el meu poder", explica Arz, qui al llarg de la xerrada negarà cobrar per això: "La policia no em pot fer res si no ho faig per diners i, a més, no tenen ni idea del que tinc".

Són molt pocs els operadors de "botnets" que les forces de la llei poden detenir. Amaguen les seves localitzacions reals saltant a través d’ordinadors compromesos, de manera que l’adreça que apareix en els registres és la d’aquestes màquines i no la seva. També són experts en amagar, dins dels ordinadors, els programes que els permeten controlar-los, anomenats "bots".

És un món cada dia més complex, on actuen des de grans organitzacions mafioses fins a petits grups de tècnics com el que formen Arz, Moudi, un amic romanès i un altre al qui anomenen el seu aprenent. La funció d’aquests tècnics és crear els virus i infectar les pàgines web que després infectaran als seus visitants; crear els programes per muntar i gestionar les "botnets", i administrar-les (qui ho fa rep el nom de "botmaster").

Els tècnics poden treballar dins d’una organització o anar per lliure. En aquest cas, venen o lloguen les seves "botnets" a empreses que vulguin enviar correu brossa, bombardejar o espiar a altres empreses, robar dades bancàries. "Un botmaster que es dediqui a enviar spam guanya entre 50.000 i 100.000 dòlars l’any", assegura Bernardo Quintero, d’Hispasec Sistemas.

També poden vendre o llogar els seus ‘packs’ de webs infectades o programes per a crear "botnets" a altres que vulguin construir la seva. El preu d’un "bot" (programa per a controlar els ordinadors d’una "botnet") en el mercat negre és d’uns pocs euros, 1.000 dòlars si és indetectable per als antivirus i més de 3.000, els sofisticats.

Hi ha fins i tot best-sellers, com el ‘kit’ Zeus, que permet crear una "botnet" personalitzada: "Un grup el va desenvolupar, el va vendre i actualment hi pot haver centenars o milers de botnets que l’emprin", explica Quintero. Zeus es va donar a conèixer el 2007 i actualment hi ha variants del mateix, com el troià Kneber, amb el qual es va crear la "botnet" de 74.000 ordinadors esclaus que ha identificat NetWitness.

El problema, diu David Barroso, de S21sec, és que en aquest mercat "hi ha confiança zero entre venedor i comprador, sempre hi ha la por que el programa tingui una porta del darrere i s’aprofitin de la teva feina". Per això, les grans organitzacions prefereixen tenir tècnics propis que creïn els seus programes.

Però l’originalitat en aquest camp no surt d’aquí sinó dels petits grups com el d’Arz i Moudi, als quals Quintero qualifica d’elit perquè "desenvolupen des de zero tota la botnet, des dels binaris i protocols fins als taulers de control. Són els qui realment innoven i entre ells hi ha molt bons experts".

L’expert en virus Ero Carrera afirma: "Hi ha molt bons enginyers en països on no hi ha indústria i el cibercrim és la seva manera de guanyar diners". Arz ho corrobora: "Aquí la vida no és tan fàcil, aquí Internet fa pudor, el govern fa pudor, la feina fa pudor i a ningú li importa. Per sort tenim una cosa que ens agrada".

Les edats d’aquests joves tècnics solen estar entre els 16 i els 25 anys, explica Barroso. Actuen des de tres punts geogràfics: Brasil/Mèxic, la Xina i Europa de l’Est. Espanya és el camp d’acció d’aquests últims, encara que "també hi ha alguns "botmasters" espanyols", assegura Quintero.

Les organitzacions els recluten en els xats o "en fòrums privats on ells mateixos venen els seus codis maliciosos", explica Barroso. Els clients, que busquen algú que envii "spam" o bombardegi a la competència, usen la mateixa forma de contacte: "Una companyia que ho necessiti sabrà com trobar-te en el xat", explica Arz.

Per a les empreses que no vulguin buscar a informàtics en foscos xats, hi ha també "comercials" que lloguen els serveis de les "botnets". Arz diu tenir amics dedicats a això però, assegura, "treballen pel seu compte". El seu petit grup, diu, viu allunyat del costat més comercial.

"Algunes organitzacions darrere de les botnets són màfies que només volen diners", afirma Arz. Aquestes màfies acostumen a gestionar les xarxes més grans, amb desenes de milers d’ordinadors esclaus; com Pushdo, en actiu des del 2007 i responsable de l’enviament de gairebé 8.000 milions de correus brossa al dia, segons Trend Micro; o la xarxa descoberta per NetWitness, que ha espiat a 2.400 empreses de tot el món.

Les grans organitzacions les porta gent de més edat, dedicada sobretot a la gestió i finances. La seva estructura bàsica està jerarquitzada: una o més persones escriuen els programes maliciosos, altres assalten i infecten les webs, altres controlen la o les "botnets" i, ja fora de l’àmbit tècnic, hi ha "comercials" i responsables del maneig dels diners.

La creixent complexitat d’aquestes xarxes es centra sobretot en l’aspecte financer: "Hi ha persones que busquen i gestionen les "mules" (els qui transfereixen els diners robat als comptes dels criminals) i d’altres encarregades de vendre o llogar les dades, les màquines i webs infectades", enumera Barroso. Segueix Quintero: "Altres es dediquen a la venda o explotació física de números de targes i al blanqueig dels diners".

Per a Arz, les "botnets" són una feina fàcil perquè "la xarxa és insegura en un 98%, però la gent només té la culpa d’un 10%, la resta és perquè les empreses fan programes insegurs". I assegura sentir una certa pena per les seves víctimes: "La majoria de les vegades m’agrada el que faig, però en altres em poso en el lloc de l’usuari al qual estic assaltant i me n’adono de com n’és
de dolent que l’empresa en la que confies i uses els seus programes t’estigui posant en perill
".

Com es crea una botnet

Els ingredients per a crear una "botnet" són: un virus, un kit de programes per a gestionar "botnets" i un o més tècnics informàtics. El secret està en col·locar el virus en pàgines amb moltes visites: "Un cop vam veure una botnet amb més d’11.000 pàgines web compromeses. Cada usuari de Windows que les visitava amb un navegador desactualitzat quedava automàticament infectat. En dos dies va aconseguir més de 90.000 afectats", explica Bernardo Quintero.

El virus es pot enviar també per correu electrònic, malgrat que la tendència és posar-los en pàgines web. Després, és qüestió d’esperar tranquil·lament a que la gent s’infecti. Un cop dins l’ordinador, el virus descarregarà un programa i l’instal·larà de manera subreptícia: és el "bot", el llaç d’unió entre l’ordinador infectat i la "botnet", que permet el seu control remot. En una hora, afirma Arz, "es poden reclutar milers d’ordinadors".

El "botmaster" ho observa tot des del seu tauler de "Comandament i Control": pot veure a temps real els nous ordinadors que entren a la "botnet" i els que en surten perquè els seus propietaris els han desinfectat, estadístiques per orígens geogràfics, sistemes operatius, contrasenyes i dades bancàries recopilades. A través del mateix tauler, el "botmaster" envia ordres als ordinadors esclaus.

És una tasca que pot fer una sola persona des de casa seva, amb un ordinador i una connexió normals. A vegades, un mateix tècnic controla dues o tres "botnets" al mateix temps. "La feina dura és desenvolupar els programes, la part de gestió de la botnet és més suportable", afirma Quintero.

Tot i així, és un treball “full-time”: quinze hores diàries o més, assegura David Barroso, "sobretot quan estan realitzant un atac massiu perquè li dediquen molt de temps i el mimen, se’l prenen seriosament. Antigament era una mica més ‘light’ però ara és un treball professional".

El programa de "Comandament i Control" de la "botnet" pot tenir una interfície gràfica o ser una simple finestra de xat, en el cas dels més antics: els ordinadors infectats es connecten al canal de xat que se’ls indica i el "botmaster" els dóna ordes a través de comandes de xat.

La segona generació són els programes que funcionen per web, més difícils d’espiar i desactivar. Les màquines infectades es connecten amb el "botmaster" a través del protocol HTTP, que la majoria dels tallafocs deixen passar sense problemes. La tercera generació empra el protocol P2P, sense nodes centralitzats i, per tant, gairebé impossible de clausurar. A més, se li afegeixen tècniques de xifrat per a l’enviament d’ordres als "bots", de manera que ningú els pugui espiar o tergiversar.

Els negocis de les botnets

Les "botnets" són emprades majoritàriament per a l’enviament massiu de correu brossa i virus, el bombardeig contra empreses i l’espionatge, sigui d’empreses o de la informació bancària dels amos dels ordinadors infectats. En casos com l’enviament de "spam", l’espionatge o el bombardeig a empreses, per a fer-los xantatge o minar-les davant la competència, el client contacta amb la "botnet" i li encarrega el treball.

Pel que fa al robatori d’informació bancària a particulars, la "botnet" sol robar-la per iniciativa pròpia i després la ven en el mercat negre. El mateix programa de la "botnet" la recopila automàticament: cada ordinador infectat té la seva fitxa amb les dades que se li han espiat, com ara números de compte i contrasenyes.

Un altre mètode popular per treure rendibilitat a les "botnets" és el "click fraud", que s’aprofita dels anunciants que paguen un percentatge als propietaris de llocs web, per cada persona que punxa en els seus "banners". El frau consisteix en crear una pàgina qualsevol, posar en ella alguns anuncis legals i fer que tots els ordinadors de la "botnet" els visitin.

"A efectes pràctics, en les estadístiques es veurà que els clics procedeixen de centenars o milers d’adreces IP diferents, repartides per tot el món, i per tant semblarà que són usuaris legítims i no una estafa", explica Bernardo Quintero. Així, l’anunciant pagarà el percentatge convingut.

Quelcom semblant s’esdevé amb les empreses que paguen a qui s’instal·li programes que mostren publicitat ("adware"). El "botmaster" els instal·la a tots els ordinadors de la seva "botnet" i cobra els diners. "En molts casos l’empresa contractant, que un cop fou una important entitat bancària espanyola, no ho sap", explica Quintero, malgrat que en altres, segons el "Washington Post", l’empresa publicitària és conscient d’això.

Fundación Shadowserver

Una red roba datos clave de 74.000 ordenadores en el mundo

La botnet Pushdo ataca más de 300 de los mayores sitios web del mundo

Copyright 2009-2010 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital and no commercial medium, provide this notice is preserved.

YCOM
Últimes entrades de YCOM (Veure'ls tots)