Microsoft desactiva 1.462 botnets Citadel

Microsoft junto con autoridades, industria financiera e ISPs de varios
países, desactivaron el pasado día cinco de junio alrededor de 1.462
botnets utilizadas por Citadel. Las redes eran usadas para robar
credenciales personales y bancarias de diversas entidades, y según
Microsoft, afectaban a cinco millones de personas provocando más de
medio millón de dólares en perdidas. Esta ha sido la séptima
intervención de Microsoft contra una gran red zombi, que en la inmensa
mayoría de los casos están compuestas por equipos Windows.

Citadel es un kit de malware, variante directa de Zeus, que funciona
fundamentalmente de la misma manera. Se instala en el sistema y lo añade
a una botnet, cuyos miembros reciben instrucciones desde un centro de
control para realizar acciones ilegales distribuidas como el envío de
spam además de (sobre todo) inyectar código en las web bancarias
legítimas para realizar transferencias no consentidas. Es una familia de
malware muy utilizada a la hora de cometer fraude bancario.

La operación de nombre clave b54, se llevó a cabo el pasado cinco de
junio. En ella participaron, además de Microsoft, la ABA (American
Bankers Association) y NACHA (The Electronic Payments Association) entre
otras asociaciones financieras y socios de Microsoft, junto al FBI. La
investigación data de principios de 2012, culminando hace dos semanas,
cuando finalmente Microsoft abrió diligencias civiles contra las
personas detrás de las botnets Citadel, a las que se refiere como John
Does 1-82.

El procedimiento ha sido muy similar a la última intervención contra la
botnet Bamital el pasado febrero. Tras la demanda civil, el juzgado del
distrito oeste de Carolina del Norte autorizó al gigante de Redmond para
cortar las comunicaciones de las máquinas infectadas con las 1.462
botnets que las controlaban. Para las infraestructuras fuera de los
EEUU, Microsoft y el FBI se han puesto en contacto con los CERTs y
autoridades de varios países para que lleven a cabo acciones similares.

Tras la actuación, Microsoft utilizará la inteligencia recabada para
alertar a los usuarios afectados de su infección. Usará para ello su
programa Cyber Threat Intelligence Program. La nota de prensa no da
muchos detalles técnicos de cómo se ha llevado a cabo la desactivación,
pero los procedimientos anteriores indican que se han podido
deshabilitar varias IPs pertenecientes a centros de control.

De hecho se han confiscado datos y servidores de dos servicios de
alojamiento de Pensilvania y Nueva Jersey. Sobre los dominios,
normalmente se ponen bajo monitorización. Una búsqueda de dominios
usados por Citadel en ZeusTracker nos arroja resultados curiosos:

Desde el pasado miércoles, muchos de ellos han sido desactivados, y
otros siguen activos pero esta vez apuntando a IPs pertenecientes a
Microsoft, que aparece como el mayor hospedador de sitios relacionados
con estas botnets.

Esto se debe a que parte del procedimiento no consistía en desactivar
los dominios sino en cambiar la IP donde apunta a los servidores de
Microsoft y ceder el control del dominio a esta a través de un cambio en
los servidores de nombres (NSX.MICROSOFTINTERNETSAFETY.NET). En otras
ocasiones además se han dado instrucciones especificas de qué hacer con
estos dominios, como mantenerlos activos pero no ponerlos a la venta,
por tanto es de esperar que se haya actuado de la misma forma.

La eficacia de estos movimientos

Tras la operación, sin embargo, queda siempre la amarga sensación de que
estas operaciones sirven para “barrer el desierto”. A corto plazo, el
nivel desciende, pero la actividad y la producción es de tal calibre,
que a pesar de desactivar 1.400 botnets (lo que puede suponer una
cantidad muy elevada de equipos infectados) no supone un gran golpe a la
actividad general de este malware.

No es la primera vez que se dan estas grandes operaciones que acaban
desarticulando redes zombi. Microsoft ha participado en muchas “redadas”
de este tipo, eliminando los servidores centrales que mantienen
infectados a millones de ordenadores. Sin ir más lejos, ya actuó contra
las botnet Zeus en 2012, con bastante éxito… pero su expansión ha
continuado.

Más que el golpe técnico a las infraestructuras (con impacto limitado a
largo plazo), lo positivo en este tipo de operaciones es comprobar que
la colaboración y coordinación entre las distintas partes parece fluida
y fructífera, algo fundamental contra el crimen organizado.
Fuente