Twync y BidV

jueves, 4 de marzo de 2010

La Guardia Civil desmantela una red de ordenadores “zombis” compuesta por más de 13 millones de PCs infectados

Extraemos la noticia de la web de la Guardia Civil del Ministerio del interior:

*Copiaban los datos personales y financieros de los ordenadores infectados, pertenecientes a particulares, empresas y organismos oficiales de más de 190 países

*Se ha localizado información personal de más de 800.000 usuarios, compuesta por datos de acceso a cuentas de correo electrónico, a servicios de banca electrónica, a redes corporativas, etc.

*Con esta “botnet” se podría haber realizado un ataque de ciberterrorismo muy superior a los realizados contra Estonia o Georgia

La Guardia Civil, en colaboración con el FBI y Panda Security, ha detenido a tres ciudadanos españoles que controlaban más de 13 millones de ordenadores infectados, denominados “zombis”, de los que obtenían datos personales y financieros.

Por el número de ordenadores que la integraban, ésta puede ser una de las botnets (acrónimo de robot y red en inglés) más grandes que se han detectado. Con ella se podría realizar un ataque de ciberterrorismo muy superior a los realizados contra Estonia o Georgia.

En los registros practicados en los domicilios de los detenidos se han intervenido ordenadores, material informático e información personal de más de 800.000 usuarios. Los datos obtenidos por los ahora detenidos podían utilizarlos para sí o alquilarlos a bandas organizadas dedicadas al fraude bancario.

La denominada BOTNET MARIPOSA fue detectada en mayo del pasado año por técnicos de la empresa canadiense Defence Intelligence, quienes crearon un grupo de trabajo para su seguimiento, junto con la empresa española Panda Security y el Georgia Tech Information Security Center.

Paralelamente, el FBI inició una investigación sobre esta misma botnet, pudiendo averiguar que estaba implicado un ciudadano español, por lo que se puso en conocimiento de la Guardia Civil.

A partir de entonces se avanzó en la investigación de forma coordinada, lo que permitió conocer los vectores de infección de la botnet y sus canales de control de los ordenadores ajenos. Asimismo, se pudo determinar la existencia de un grupo de habla hispana, identificado como DDPTEAM, que había adquirido en el mercado del “malware” (programas maliciosos) el troyano utilizado.

Red de robots

Una botnet es un conjunto de ordenadores infectados con un programa malicioso, que están bajo control de su administrador o “botmaster”. Para su control, los ordenadores infectados, conocidos como zombies o bots, se conectan a un equipo llamado Command & Control (C&C) donde reciben instrucciones.

Las botnets pueden ser utilizadas para robar información de los propios equipos o para el uso clandestino de los mismos (envío de spam, atacar a terceros equipos o provocar denegaciones de servicio –DoS-). El botmaster puede utilizar esa información para sí o alquilarla a terceros, muy habitual en bandas organizadas dedicadas al fraude bancario.

El pasado mes de diciembre, identificados prácticamente todos los canales de control de esta botnet, se procedió de una forma coordinada a nivel internacional a bloquear los dominios que habían utilizado. Éstos se localizaban principalmente en dos prestadores de servicio americanos y uno español.

Como consecuencia de esta acción, probablemente como acto de venganza, se produjo un importante ataque de denegación de servicio a la empresa Defence Intelligence, afectando seriamente a un gran Proveedor de Acceso a Internet (ISP) y dejando sin conectividad durante varias horas a multitud de clientes, entre los que se encontraban centros universitarios y administrativos de Canadá.

Esta acción permitió conocer el resto de canales de control de la botnet, que finalmente han sido bloqueados, a falta de dos pequeños servidores que controlan muy pocos equipos informáticos.

Detenidos

Tras el bloqueo de los dominios, se logró identificar al máximo responsable del DDPTEAM, que se autodenominaba “netkairo” o “hamlet1917”, procediéndose a su detención en su localidad de residencia, Balmaseda (Vizcaya), el pasado mes de febrero.

En el registro domiciliario se intervinieron varios equipos informáticos que están siendo analizados, en los que se encontraron numerosas evidencias de su actividad delictiva y de la identidad de otros miembros del grupo, lo que ha permitido que la pasada semana, se procediera a la detención de los otros dos españoles miembros del grupo, “OsTiaToR”, en Santiago de Compostela (A Coruña), y “Johnyloleante” en Molina de Segura (Murcia).

Los detenidos son F.C.R., de 31 años de edad y residente en Balmaseda (Vizcaya); J.P.R., de 30 años de edad y residente en Molina de Segura (Murcia); y J.B.R., de 25 años de edad y residente en Santiago de Compostela (A Coruña).

Se investiga la participación de un cuarto miembro del grupo, identificado como “fénix”, que podría ser venezolano, para lo que se han instado los canales de cooperación policial internacional para su identificación y detención.

Colaboración de PANDA Security y del Prestador de Servicio CDMON

La coordinación de las actuaciones técnicas por parte de PANDA Security y la colaboración del Prestador de Servicio CDMON han sido vitales para la investigación.

Las actuaciones coordinadas y conjuntas de distintas fuerzas policiales internacionales y la Guardia Civil, junto con el esfuerzo de la industria del mundo de la seguridad en Internet, han permitido hacer frente a la amenaza global del cibercrimen.

Ante el potencial riesgo del uso de la botnet para un ataque de magnitudes importantes en cualquier parte del mundo y por la existencia de ciudadanos españoles involucrados, la Audiencia Nacional dirigió la investigación, instruyéndose diligencias previas en el Juzgado Central de Instrucción 5.

Para más información y solicitud de imágenes de vídeo pueden contactar con el gabinete de prensa de la Guardia Civil, C/ Guzmán el Bueno, 110, tlf. 91 514 60 10.

No hay comentarios:

Publicar un comentario