Microsoft junto con autoridades, industria financiera e ISPs de varios países, desactivaron el pasado día cinco de junio alrededor de 1.462 botnets utilizadas por Citadel. Las redes eran usadas para robar credenciales personales y bancarias de diversas entidades, y según Microsoft, afectaban a cinco millones de personas provocando más de medio millón de dólares en perdidas.
Esta ha sido la séptima intervención de Microsoft contra una gran red
zombi, que en la inmensa mayoría de los casos están compuestas por
equipos Windows.
|
Microsoft y expertos forenses analizan evidencias
relacionadas con Citadel tras su detección en un
proveedor en New Jersey (Fuente:Microsoft) |
Citadel es un kit de malware, variante directa de Zeus, que funciona
fundamentalmente de la misma manera. Se instala en el sistema y lo añade
a una botnet, cuyos miembros reciben instrucciones desde un centro de
control para realizar acciones ilegales distribuidas como el envío de
spam además de (sobre todo) inyectar código en las web bancarias legítimas para realizar transferencias no consentidas. Es una familia de malware muy utilizada a la hora de cometer fraude bancario.
La operación de nombre clave b54, se llevó a cabo el pasado 5 de junio. En ella participaron, además de
Microsoft, la
ABA (American Bankers Association) y
NACHA (The Electronic Payments Association) entre otras asociaciones financieras y socios de
Microsoft, junto al
FBI.
La investigación data de principios de 2012, culminando hace dos
semanas, cuando finalmente Microsoft abrió diligencias civiles
contra
las personas detrás de las botnets Citadel, a las que se refiere como
John Does 1-82.
El procedimiento ha sido
muy similar a la última intervención contra la botnet Bamital el pasado febrero.
Tras la demanda civil, el juzgado del distrito oeste de Carolina del
Norte autorizó al gigante de Redmond para cortar las comunicaciones de
las máquinas infectadas con las 1.462 botnets que las controlaban. Para
las infraestructuras fuera de los EEUU,
Microsoft y el FBI se han puesto
en contacto con los CERTs y autoridades de varios países para que
lleven a cabo acciones similares.
Tras la actuación,
Microsoft utilizará la inteligencia recabada para alertar a los usuarios afectados de su infección. Usará para ello su programa Cyber Threat Intelligence Program.
La nota de prensa no da muchos detalles técnicos
de cómo se ha llevado a cabo la desactivación, pero los procedimientos
anteriores indican que se han podido deshabilitar varias IPs
pertenecientes a centros de control.
De hecho se han confiscado datos y servidores de dos servicios de
alojamiento de Pensilvania y Nueva Jersey. Sobre los dominios,
normalmente se ponen bajo monitorización. Una búsqueda de dominios
usados por Citadel en ZeusTracker nos arroja resultados curiosos:
Desde el pasado miércoles, muchos de ellos han sido desactivados, y
otros siguen activos pero esta vez apuntando a IPs pertenecientes a
Microsoft, que aparece como el mayor hospedador de sitios relacionados
con estas botnets.
Esto se debe a que parte del procedimiento no consistía en desactivar los dominios sino en cambiar la IP
donde apunta a los servidores de Microsoft y ceder el control del
dominio a esta a través de un cambio en los servidores de nombres
(NSX.MICROSOFTINTERNETSAFETY.NET). En otras ocasiones además se han dado
instrucciones especificas de qué hacer con estos dominios, como
mantenerlos activos pero no ponerlos a la venta, por tanto es de esperar
que se haya actuado de la misma forma.
La eficacia de estos movimientos
Tras la operación, sin embargo, queda siempre la amarga sensación de que estas operaciones sirven para "barrer el desierto". A corto plazo, el nivel desciende, pero la actividad y la producción es de tal calibre, que a
pesar de desactivar 1.400 botnets (lo que puede suponer una cantidad
muy elevada de equipos infectados) no supone un gran golpe a la
actividad general de este malware.
Más que el golpe técnico a las infraestructuras (con impacto limitado a
largo plazo), lo positivo en este tipo de operaciones es comprobar que la
colaboración y coordinación entre las distintas partes parece fluida y
fructífera, algo fundamental contra el crimen organizado.
Más información:
Microsoft, financial services and others join forces to combat massive cybercrime ring
Domain Name Seizures Prominent in Dismantling the ZeuS botnet
Francisco López