Inicio Tecnología. Seguridad en la mira: botnet

Seguridad en la mira: botnet

El botnet Storm ha sidovinculado con la Russian Business Network (RBN) que opera en SanPetersburgo, Rusia. La RBN se ha asociado durante mucho tiempo con unavariedad de crímenes, como el envío de spam, ataques, distribuidos denegación de servicio (DDoS), phishing, pornografía infantil, robo deidentidad y extorsión. El código malicioso que hospeda el proveedortambién ha sido conocido por proveer “hospedaje web a prueba de balas”a otros criminales electrónicos. Como Storm, Pushdo parece venir deRusia y ha sido vinculado con el área de Moscú.
 
Igualque otros botnets, el componente de spam de Pushdo, conocido comoCutwail, envía spam en olas, cada una anunciando un servicioparticular. Normalmente, éstas incluyen pornografía, spam de farmaciasy otros, pero cuando los investigadores de Trend Micro comenzaron a veranuncios de clases de salsa y servicios de construcción, decidieronahondar aún más en el modelo de negocio del botnet.

Los investigadores de TrendMicro contactaron a la banda por teléfono, haciéndose pasar porclientes potenciales para comprar sus servicios de spam. Los detallesde los contactos se obtuvieron fácilmente de uno de los mensajes despam en los que se auto promueven – en este caso un número de ICQ y unnúmero telefónico fijo registrado en Moscú. Los investigadores hicierondos llamadas separadas – primero haciéndose pasar como un individuo quequería anunciar un sitio Web erótico, y la segunda vez para averiguarlas tarifas para anunciar servicios de transporte.
 
Aparentemente,la banda criminal detrás de Pushdo ofrece “servicios locales depublicidad”. Por sólo 100 euros, una empresa puede dirigirse a millonesde direcciones de correo electrónico en un área específica, como Moscú,San Petersburgo, o el país de su preferencia (ver la tabla anterior).Los operadores de Pushdo fueron muy serviciales, primero ofreciendo unenlace a los precios y los detalles de sus cuentas bancarias, e inclusose ofrecieron arecogerel dinero personalmente. Además, ofrecieron el diseño gratuito desitios Web para aumentar el éxito de la campaña de correo electrónicono deseado, así como crear sus “servicios de correo publicitario paraevitar las firmas anti-spam. Como parte de su servicio, los operadoresde Pushdo prometieron dar recibos oficiales para probar a lasautoridades fiscales que el dinero se gastó en publicidad.
 
Cuandolos investigadores de Trend Micro expresaron su preocupación sobre losasuntos legales involucrados en el envío de millones de correoselectrónicos no solicitados, aseguraron que la práctica no es ilegal, opor lo menos no en Rusia. Los representantes de Pushdo dijeron que sibien es ilegal colocar carteles publicitarios en las paredes sinpermiso, el spam no es ilegal – “Es sólo correo electrónico”. Es ciertoque las leyes que controlan el correo electrónico no solicitado sonmucho débiles en Rusia que en otros países.
 
Laevidencia apunta a Moscú como la sede de Pushdo ya que todos losnúmeros de contacto listado corresponden al área de Moscú. Lasdirecciones IP de los servidores de comando y control de Pushdo parecenestar distribuidos en diferentes países, pero la mayoría de los sitiosWeb, incluyendo los sitios usados para promover los precios, estánregistrados con números de Moscú.
 
Losinvestigadores de Trend Micro encontraron una larga lista de otrossitios subterráneos que utilizan los mismos servidores de nombresautorizados como los usados por Pushdo. Si bien estos sitios no parecenestar totalmente asociados con la banda Pushdo, participan enactividades similares (vender spam de correo electrónico, hospedaje “aprueba de balas”, pornografía, etc). Es claro que el propietario deeste servidor de nombres es otro jugador clave en el terreno del códigomalicioso ruso.