Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
14/06/2013
Microsoft desactiva 1.462 botnets Citadel
Microsoft, juntament amb autoritats, indústria financera i ISP d’uns quants països, van desactivar el passat dia cinc de juny al voltant de 1.462 botnets utilitzades per Citadel. Les xarxes eren usades per a robar credencials personals i bancàries de diverses entitats i, segons Microsoft, afectaven cinc milions de persones i provocaven més de mig milió de dòlars en pèrdues. Esta ha sigut la sèptima intervenció de Microsoft contra una gran xarxa zombi, que en la immensa majoria dels casos estan compostes per equips Windows.
Citadel és un kit de programari maliciós, variant directa de Zeus, que funciona fonamentalment de la mateixa manera. S’instal·la en el sistema i l'afig a una botnet els membres de la qual reben instruccions des d’un centre de control per a realitzar accions il·legals distribuïdes, com ara l’enviament de correu brossa, a més de, sobretot, injectar codi en les pàgines web bancàries legítimes per a fer transferències no consentides. És una família de programari maliciós molt utilitzada a l’hora de cometre frau bancari.
L’operació, de nom clau b54, es va dur a terme el passat 5 de juny. Hi van participar, a més de Microsoft, l’ABA (American Bankers Association) i NACHA (The Electronic Payments Association), entre altres associacions financeres i socis de Microsoft, juntament amb l'FBI. La investigació data de principis de 2012, i va culminar fa dos setmanes, quan finalment Microsoft va obrir diligències civils contra les persones darrere de les botnets Citadel, a les quals es referix com a John Does 1-82.
El procediment ha sigut molt semblant a l’última intervenció contra la botnet Bamital el passat febrer. Després de la demanda civil, el jutjat del districte oest de Carolina del Nord va autoritzar el gegant de Redmond per a tallar les comunicacions de les màquines infectades amb les 1.462 botnets que les controlaven. Per a les infraestructures fora dels EUA, Microsoft i l'FBI s’han posat en contacte amb els CERT i autoritats d’alguns països perquè duguen a terme accions semblants.
Després de l’actuació, Microsoft utilitzarà la intel·ligència demanada per a alertar els usuaris afectats de la infecció. Usarà per a això el seu programa Cyber Threat Intelligence Program. La nota de premsa no dóna molts detalls tècnics de com s’ha dut a terme la desactivació, però els procediments anteriors indiquen que s’han pogut deshabilitar diverses IP pertanyents a centres de control.
De fet, s’han confiscat dades i servidors de dos servicis d’allotjament de Pennsilvània i Nova Jersey. Sobre els dominis, normalment es posen en monitorització.
Des de dimecres passat, molts d’ells han sigut desactivats, i altres seguixen actius, però esta vegada apuntant a IP pertanyents a Microsoft, que apareix com el major allotjador de llocs relacionats amb estes botnets.
Açò es deu al fet que una part del procediment no consistia a desactivar els dominis, sinó a canviar la IP on apunten els servidors de Microsoft i cedir-li el control del domini a través d’un canvi en els servidors de noms (nsx.microsoftinternetsafety.net). Altres vegades, a més, s’han donat instruccions especifiques de què es fa amb estos dominis, com ara mantindre'ls actius però no posar-los a la venda, per tant és d’esperar que s’haja actuat de la mateixa manera.
L’eficàcia d’estos moviments
Després de l’operació, no obstant això, queda sempre l’amarga sensació que estes operacions servixen per a "agranar el desert". A curt termini, el nivell descendix, però l’activitat i la producció és de tal calibre que, a pesar de desactivar 1.400 botnets (el que pot suposar una quantitat molt elevada d’equips infectats) no comporta un gran colp a l’activitat general d’este programari maliciós.
No és la primera vegada que es donen estes grans operacions que acaben desarticulant xarxes zombi. Microsoft ha participat en moltes "batudes" d’este tipus, eliminant els servidors centrals que mantenen infectats milions d’ordinadors. Sense anar més lluny, ja va actuar contra les botnet Zeus en 2012, amb prou èxit... però l'expansió ha continuat.
Més que el colp tècnic a les infraestructures (que té un impacte a llarg termini limitat), el positiu en este tipus d’operacions és comprovar que la col·laboració i coordinació entre les distintes parts pareix fluida i fructífera, cosa fonamental contra el crim organitzat.
Més informació:
Microsoft, financial services and others join forces to combat massive cybercrime ring
Domain Name Seizures Prominent in Dismantling the ZeuS botnet