A comienzo de marzo la controversial compra de una botnet por parte de la BBC y la modificación de equipos infectados en nombre del “interés público†suscitó muchos debates a favor y en contra de esto. Condenado por ciertas empresas proveedoras de seguridad, y naturalmente, al menos desde la perspectiva de guerrilla de relaciones públicas, aplaudidos y alentados como una táctica emergente de concientización por otros, la discusión paso de lo técnico hacia un debate moral y legal, dejando una simple pregunta sin respuesta – ¿cuál es el nombre de la botnet que alquiló la BBC y que tiene de particular?
Demos un vistazo dentro de la “Botnet Quimera†de la BBC ofrecida en alquiler por un proveedor ruso de Cibercrimen-como-un-Servicio (CaaS).
Mientras miraba el programa Click de la BBC, quedé sorprendido por el hecho de que el servidor de la botnet parecÃa ser uno nuevo, presumiblemente liberado en las ultimas semanas. Escarbando un poco más resultó ser el caso de un proveedor de botnet administrada que estaba comenzando su lanzamiento público a comienzos de año. Además, al estar involucrado en elaborar perfiles, obtener y analizar plataformas emergentes de explotación, uno aprende que el genio para hacer inteligencia de las ciber-amenazas se basa en investigar sin contribuir mediante ninguna compra al ecosistema ciber-criminal de ninguno de los productos liberados – que es justo como fue llevado a cabo este análisis.
La botnet Quimera es cortesÃa de un proveedor ruso que desarrolla aplicaciones web y sistemas de base para botnets, con énfasis en programación de malware para alquilar. Algunos de sus desarrollos más notables (públicos) incluyen modificaciones de aumento de performance dentro del kit de crimeware (software para cometer crÃmenes) Zeus, la introducción de un tema de tarjetas en el kit(ahora una parte inseparable de las nuevas versiones), y la integración de un reproductor de MP3 y radio online en el kit de crimeware. El servicio administrado ofrece dos versiones en un diseño de malware modular tÃpico en este caso para realizar spamming y para lanzar ataques de denegación de servicio distribuidos (DDoS), con una interfaz para el backend basada exclusivamente en el entorno de JS extendido AJAX, con el malware en si compatible con Windows XP sp1/2/3, y Windows Vista en el cual los autores alegan que correrá como una aplicación autorizada.
- Vea los post relacionados con el Cibercrimen-como-un-Servicio: El grupo de ciber-crimen Neosploit abandona su kit de malware de explotación web; Ciber-criminales lanzan un kit de malware de explotación web con tema de Navidad; Servicio de seguimiento de Crimeware golpeado por un ataque DDoS(todos en inglés)
¿Cuánto pagó la BBC por acceder a la botnet administrada, y cuales son las posibilidades que los vendedores estén involucrados en un sinnúmero de actividades centrales del ciber-crÃmen?. De modo interesante, el sitio (ahora caido) web del proveedor no estaba ofreciendo exclusivamente los 20 mil equipos infectados que compró la BBC, dejando asà la posibilidad de lo que pareciera una compra sobrevaluada. Sin embargo, se menciona un precio de $400 por un binario de malware administrado particular, con el tamaño de la botnet cambiando proporcionalmente con las campañas de malware del proveedor circulando por la red.
El “fiasco de la botnet” por completo pone en el centro de la atención al dinámico ecosistema del ciber-crÃmen con proveedores bien identificados trabajando unos con otros. En este caso particular, el proveedor de la botnet Quimera es parte de una red filial que ofrece servicios de “localización por demandaâ€, a saber: capacidad de potenciar a un ciber-criminal chino con la habilidad de traducir todas sus campañas de spam/malware/phising a un idioma de se elección, quebrando las barreras del idioma lo cual a menudo revela el origen real de la campaña.
La parte alarmante de tal “malware para alquilar†y los servicios de “botnets en alquiler” es su énfasis en la estandarización que resulta en eficiencias y las eficiencias en si en una escalabilidad efectiva en costo. Por ejemplo, siendo preguntado por un cliente si su plataforma podrÃa manejar más de 50 mil equipos infectados antes de pedir una interfaz a la medida del cliente, el proveedor respondió que la última botnet grande que entregaron de 1,2 millones de máquinas estaba trabajando “muy bien”.
El proveedor de la botnet Quimera esta actualmente en modo encubierto, el monitoreo de sus próximas versiones continuará.
Traducción exclusiva de Segu-info: Raúl Batista
Autor: Dancho Danchev
Fuente: Blogs ZDNet