Pastores de bots, o cómo ser perseguido por invadir PCs

[Yenki]

Bot es un programa que realiza en línea funciones normalmente llevadas a cabo por humanos.

Las computadoras infectadas con bots se usan para:
- mandar correo basura, dicen que el 70 % de los avisos por correo electrónico tienen esta fuente.
- phishing, engaños por correo electrónico para conseguir contraseñas, o datos como números de tarjetas de crédito.
- ataques de negación de servicio, saturar las conexiones a un sitio web para tornarlo inaccesible, los operadores de los bots pueden pedir dinero a cambio de que cesen los ataques.
- robo de claves de acceso o datos personales, pueden instalar programas que registran lo que se teclea en una PC y luego mandar esos datos a sus administradores.




Un caso
Jeanson James Ancheta a los 19 años tenía un BMW 1993 mejorado y gastaba 600 dólares por mes en ropa y partes para el auto.

Pero en enero de este año se declaró culpable ante el poder judicial de EEUU que lo acusaba de secuestrar cientos de miles de computadoras y vender el acceso a otros para difundir correo basura y lanzar ataques web.

Los registros de la corte muestran que en junio de 1994 había descubierto rxbot, un gusano potente y común que estaba diseñado para difundirse por internet.
A Ancheta le gustaba que era fácil de modificar.
Siempre de acuerdo a documentos judiciales infectó miles de PCs y empezó un negocio, en una zona de chat privada en internet, #botz4sale.

Entre junio y septiembre de 2004 ganó más de 3000 dólares al realizar más de 30 ventas de hasta 10 mil bots a la vez.

A fines del 2004 firmó con dos empresas de internet LoudCash de Washington, y GammaCash Entertainment de Montreal, para distribuir avisos a comisión, en lugar de abrir un sitio web o pedir permiso para instalar programas, usó sus bots para instalar programas con publicidad en PCs vulnerables conectadas a internet.
Dicen que trabajaba de 1 pm a 5 am, que incluso llegó a contratar a un asistente que vivía en Florida, por mensajero instantáneo Ancheta le enseñó a infectar computadoras y administrar las instalaciones de programas con avisos.
Según llegó a decir invadir computadoras conectadas a internet era fácil como cortar queso.
Empezó a recibir cheques de casi 8000 mil dólares, y de acuerdo a los documentos judiciales, en 6 meses él y su ayudante recaudaron unos 60 mil dólares.

El 1º de mayo, hoy, debía dictarse sentencia en su contra.
No dicen como lo capturaron.



Continuará...

[Yenki]

Otro caso
Christopher Maxwell de 18 vivía en California, y con dos socios de otros estados juntaron 100 mil dólares entre julio de 2004 y julio del 2005.
En enero del año pasado, el bot que controlaban llegó al Hospital Norhtwest de Seattle y les infectó 150 de las 1100 computadoras, podría haber sido peor, esta cantidad de máquinas afectadas buscando otras para infectar saturó la red.
Las computadoras de cuidados intensivos se apagaron, las pruebas en los laboratios y tareas administrativas fueron interrumpidas, y tuvieron que volver a las tareas manuales.
En los meses posteriores David Farquhar, un agente especial miembro de Fuerza de Tarea de Ciber Crimen del FBI, rastreó la infección a una cuenta de Netzero Internet usando el número de teléfono de los padres de Maxwell, lo que llevó a su acusación. Él se declaró no culpable.



Último caso
Un ruso de que vivía en Marruecos, Farid Essebar de 19, alias Diabl0, que hizo una versión de un gusano llamado MyTob, que al infectar bajaba las defensas de la PC invadida, se reportaba para recibir instrucciones y quedaba a la espera. Luego uno llamada Zotob que se difundía sin acción del usuario.
El grupo de 65 investigadores y abogados de Microsoft del Equipo de Aplicación de Seguridad en Internet ayudó a detenerlo junto a Atilla Ekici, alias Coder, de 21 en Turquía.
Los agarraron pues Zotob andaba furtivo en servidores con los últimos parches de Microsoft, pero en los que no estaban bien al día ocasionaba desperfectos que indicaban que algo no andaba bien.


Quedan las conclusiones.

[punisher]

Muy lindo articulo, Mr. Yen!!!!
Es que a veces, es al pedo estudiar una carrera de 7 años, si tenes 2 dedos de frente y sabés usar una compu y alguna noción de programación te podés hacer de oro. Lo único malo que eso esta penado por la ley.

[Yenki]

Tim Cranton, que es director del Equipo de Aplicación de Seguridad en Internet de Microsoft, llama a las redes de bots "la herramienta elegida por aquellos que intentan usar internet para producir crímenes".
Traduzco :
"Estimar el número de bots en difícil, pero los investigadores avezados que participan en encuentros del Grupo de Trabajo Antiabuso de Mensajería, (Messaging Anti-Abuse Working Group), consideran a menudo que hay un 7 % como tasa de infección punto de discusión. Eso significa que puede haber como 47 millones de los 681 millones de computadoras conectadas en el mundo a internet, que están bajo el contro de las redes de bots".

La gente de MacAfee detectó 28 mil redes de bots en el 2005, más del triple que en el 2004. Una encuesta a 123 ejecutivos de empresas de alta tecnolgía llevada adelante por la gente de una firma de seguridad llamada nCircle, fijó en 197 mil millones de dólares la cifra debida a las pérdidas en los negocios de EEUU que se deben al cibercrimen.

Los agentes de la ley dicen que hay cientos de pastores de bots, la mayoría jóvenes. Mayormente, arman redes de computadoras comprometidas para hacer dinero fácil difundiendo programas con avisos, -(esas ventanas emergentes que para la banca, tener citas, pornografía, sitios de juegos). Cobran por cada PC en la que instalan adware o que infecten.

La nota termina así:

• A pesar de su notoriedad Essebar, Ancheta y Maxwell representan meros destellos en la subcultura de internet. Los crackers de élite que colaboran con grupos del crimen organizado se esfuerzan para cubrir sus pistas - y raramente son atrapados.
  "Aquellos cercanos a los bajos estratos son los que tienden a ser notados y arrestados rápidamente" dice Martin Overton , un especialista en seguridad de IBM.

Para ampliar pueden ve la nota Difusores de software melicioso se tornan más furtivos, y más frecuentes, (Malicious-software spreaders get sneakier, more prevalent) firmada por Byron Acohido y Jon Swartz en usatoday.com.
Hay más datos y cuentan más casos, lo llamativo es que los detenidos son todos muy jóvenes.



Fuente: techpowerup.com.


Si pibes poco más que adolescentes pueden hacer semejantes líos, ¿ se imaginan un grupo de especialistas universitarios pagado por algún gobierno para hacer guerra cibernética?

Luego de leer esto me dio la sensación de que es una jungla la web.

A esto se suma que el monopolio de los parches para arreglar vulnerabilidades, está en manos de los mismos que tienen el cuasi monopolio de los sistemas operativos de código cerrado.


Puni
casos como el del Hospital que mencioné antes dejan en claro que hacer virus y código malicioso es mucho más que una "jodita para Tinelli", pueden poner vidas en juego, gracias a la dependencia que tenemos con las computadoras para hacer tareas importantes.
Eso sin contar las pérdidas económicas que implican.

Cuando me pesco alguna peste, me lleva como mínimo dos o tres horas limpiar mi compu, ¿te imaginás en una red que tenga decenas o cientos de máquinas?

[punisher]

Claro que te entiendo Yen! Lo que yo dije es en forma de broma, espero que no se me haya interpretado mal
Como vos decís, estas redes de bots "atacan" sin consentimiento a lo que se l ponga adelante y claro, como en el caso que citás del Hospital, eso es, como se suele decir en España, una gran putada!!!!! Es obvio que, en el dia de hoy hay muchisimas personas que trabajan con computadoras y en su defecto lo hacen a través de internet. Puede ser que estos ataques de bots sean al azar o los "creadores" son concientes de a que lugares atacan?

[Yenki]

¿Recuerdan el primer pastor de bots del que les hablé en este tema?
Jeanson James Ancheta, el que había juntado como 60 mil dólares invadiendo PCs, llegó a controlar 400 mil máquinas en todo el mundo, las usaba para generar tráfico hacia publicidad, infectar otras máquinas más vulnerables, y enviar correo basura. (spam en la jerga).
Hallé algunas novedades, se había declarado culpable en enero, y fue condenado a 4 años y nueve meses de prision, se le ordenó pagar 15 mil dólares a una institución Naval y multado con 60 mil dólares.

Fuentes: cnet.com y neowin.net.



En otra nota en CNET comentan algunas cosas de interés sobre las redes de bots.
Una compañía de seguridad llamada CiberTrust dice que cada día 180 mil PCs se convierten en bots, o zombies, al ser infectadas por código malicioso, y esa cifra va creciendo.

Traduzco:

• Las redes de bots son usadas por sus propietarios para defraudar a los avisadores por internet, como en el caso de Ancheta, o pueden ser alquiladas por hora a aquellos que quieren realizar campañas masivas de mensajes de correo. Los extorsionadores pueden también rentarlas para lanzar ataques de Negación de Servicio (Denial of Service) a sitios web legítimos.

Para algún especialista en seguridad las redes de bots son un problema mayor pues no pueden ser fácilmente evitadas, ya que la mayoría de las máquinas secuestradas son PCs ordinarias conectadas por ADSL. Y como lleva mucho tiempo de soporte técnico explicar a un usuario promedio como protegerse, los proveedores de acceso a internet están ignorando el tema.
El gran crecimiento del acceso por banda ancha hace que las redes de bots sean un peligro que no va disminuir en el futuro.

Pueden ver la nota ¿Cuál es la próxima amenaza a la seguridad? en CNET firmada por Ron Condon.



Ojo con esto si ven que su PC empieza a andar más lenta de lo normal es muy probable que estén infectados con algún programa malicioso.
Yo lo sentía al andar en la web.

[Yenki]

Controló de 250 mil computadoras

Un consultor de seguridad de 26 años llamado John Kenneth Schiefer, dijo que secuestró más de un cuarto de millón de PC con el objeto de robar identidades y plata.
Se declaró culpable de cuatro cargos por fraude e intercepción para quitar datos (wiretapping en inglés).
Estos cargos pueden hacer que sea condenado hasta a 1,75 millones de dólares en multas y 60 años de cárcel.
Todavía el proceso no terminó el acusado debe presentarse a fines de noviembre ante el poder judicial en Los Ángeles.

Consiguió esto armando una red de bots.
Schiefer con dos cómplices en al menos 137 máquinas instalaron programas para controlarlas remotamente.
Los bots les dejaban recolectar los nombres de usuarios y contraseñas que metían en Internet Explorer.
Este especialista y los socios difundían los bots usando programas de mensajería instantánea , el AOL instant Messenger, mandaban mensajes invitando a hacer clic en un enlace, cuando la gente lo hacía se les descargaba un troyano y ese troyano traía el bot.
Con esto lograron acceder a cuentas ajenas del servicio de pagos PayPal.
Según los investigadores del estado Schiefer es el primero en ser acusado por violar leyes federales por manejar una red de bots, (botnet en inglés), un grupo de computadoras hackeadas y controladas remotamente.




Schiefer reconoció también haber instalado programas para ver avisos para una compañía holandesa que le pagaba 20 centavos por PC infectada, a mediados del 2005 hizo 19 mil dólares instalando esta porquería para los europeos en las computadoras secuestradas. Aunque el gobierno dice que hizo este dinero en un mes , él reconoce que fue en menos de una semana (en ese lapso infectó 95 PCs para obtener la suma antes dicha).
Confesó que se gastó la plata en la convención anual de hackers en Las Vegas llamada DefCon.

Fuentes: washingtonpost.com, kriptopolis.org y pcworld.com.

[Yenki]

En el suplemento de tecnología de La Nación, el editor Ariel Torres redactó una nota sobre este tema de las redes de computadoras zombies, o botnets.

el IRC sigue funcionando, y suele ser el lugar desde el cual se toma control de una red, una vez que ha sido infectada.

El mecanismo es simple de entender, aunque esconde muchas complejidades técnicas. El primer paso es mandar un mensaje de correo electrónico con un virus. Por ejemplo, con una supuesta foto imperdible o una tarjeta de salutación. La foto no es tal, por supuesto, y cuando se le da doble clic instala en la computadora un software que buscará vulnerabilidades en la red. Si las hay, en pocos segundos la red, o al menos esa computadora, quedarán infectadas. Desde ese momento, silenciosamente, un pirata informático, conocido como botmaster en la jerga, podrá dominar la red desde un centro de comando y control. Las máquinas invadidas harán el trabajo sucio de atacar sitios Web, distribuir spam y propagar más virus.

La red infectada es manejada a control remoto y de esta forma se establece no sólo una distancia prudencial entre el pirata y el medio con el que comete su delito, sino que constituye una forma de evitar los filtros contra correo basura en los equipos de sus víctimas potenciales.

La solución está más en la conducta del usuario que en otra cosa, no hay que abrir mensajes de correo electrónico con archivos adjuntos que no se hayan pedido, ni enlaces que se reciben de desconocidos a través del mensajero instantáneo.

Según la empresa Symantec, en Brasil el 40 % de las redes están infectadas con bots, en Argentina el 17 %, y en Perú el 13.

Fuente: la nota La amenaza de las redes robot infecta la Argentina de donde tomé la cita.

[Yenki]

Hay 12 millones de direcciones IP más infectadas por bots

Según un informe de la gente del antivirus McAfee este año desde enero hay 12 millones de direcciones IPs más bajo control de los pastores de bots.
Cada mes hay más de 3 millones de nuevas IPs controladas por bots.



El número de PCs zombies representa un 50 % de incremento respecto al año pasado.
El 18 % de las computadoras controladas por bots está en EEUU.
El segundo país con este tipo de malware es China con el 13 %



El informe trimestral de McAfee se puede bajar en formato pdf desde acá, y tiene bastantes más datos.