La semana pasada, Google anunció que había interrumpido parcialmente las operaciones de una botnet masiva, una red gigantesca de más de un millón de computadoras Windows infectadas con malware. En el mundo de la ciberseguridad, eso sería una novedad en sí mismo, pero esta red en particular estaba utilizando un alarmante integración de blockchain que lo hace difícil de superar.
Botnets son básicamente ejércitos de dispositivos “zombis”: servidores que han sido infectados con malware y conectados a una red maliciosa, como los que pueden usarse para cometer actividades delictivas a gran escala. La mayoría de las personas cuyo dispositivo se ha visto comprometido y se ha convertido en parte de una red de bots no tiene idea de lo que sucedió, y su computadora básicamente funciona como cómplice involuntario de un delito cibernético.
En este caso particular, se cree que la organización criminal detrás de la botnet es una familia de malw are conocida como “Glupteba”. La semana pasada, el Grupo de análisis de amenazas de Google (TAG) contexto publicado
Entonces, obviamente, la interrupción de algo así es buena. Pero, como es el problema imperecedero Con las redes de bots, el problema real no es necesariamente cómo derribar partes de una red infectada, sino cómo controlarlas. Al mismo tiempo que Google dijo que había interrumpido Gluteba, también tuvo que admitir que la red infectada pronto se reconstituiría y recuperaría toda su fuerza a través de un mecanismo de resiliencia innovador basado en la cadena de bloques de Bitcoin.
Este nuevo mecanismo basado en criptografía, que se ha utilizado durante mucho tiempo teorizado sobre pero no necesariamente se ha visto en la naturaleza antes, podría presentar un nuevo terreno desafortunado para los ciberdelincuentes, que pueden hacerlos cada vez más resistentes a las interrupciones por parte de las fuerzas del orden.
Un problema en evolución
El principal problema para cualquier ciberdelincuente que quiera operar una botnet es cómo mantener el control sobre sus hordas zombificadas.
Las botnets normalmente se configuran ser controlado por una parte centralizada, generalmente conocida como “botmaster” o “molesto”. Los pastores usan lo que se llama un comando y control (C2) servidor: una máquina que envía direcciones a todas las máquinas infectadas, actuando efectivamente como el centralita principal para que los criminales controlen a sus zombies. A través de C2, los pastores pueden dirigir a gran escala campañas maliciosas, como robo de datos, ataques de malware, o, en el caso de Glupteba, cryptojacking.
Pero, para administrar sus rebaños, el botmaster necesita un canal por el cual mantenerse conectado con ellos y dar órdenes, y aquí es donde las cosas pueden complicarse. Muchas infraestructuras de botnet C2 utilizan protocolos web como HTTP, lo que significa que tienen que estar conectados a un dominio web específico para permanecer en contacto con su rebaño. El dominio actúa como el portal de C2 a Internet y, por lo tanto, la red extendida de dispositivos infectados.
Sin embargo, dado que no es tan difícil derribar un sitio web, esto significa que los C2, y por lo tanto las propias redes de bots, pueden interrumpirse con bastante facilidad. Las fuerzas del orden pueden derribarlos simplemente inhabilitando los dominios asociados con el C2, ya sea obteniendo su proveedor de DNS, como Cloudflare, para cerrar el acceso, o para encontrar y apoderarse de un dominio.
Para evitar esto, los delincuentes buscan cada vez más formas innovadoras de mantenerse conectados con sus manadas de robots. En particular, los delincuentes han intentado utilizar plataformas alternativas, como las redes sociales o, en algunos casos, Tor, para actuar como centros C2. A Estudio 2019 por la Iniciativa de Investigación de Políticas de Internet del MIT señala que algunos de estos métodos han tenido un éxito medio pero generalmente no exhiben mucha longevidad:
Más recientemente, las redes de bots han experimentado con mecanismos de C&C esotéricos, que incluyen redes sociales y servicios en la nube. El troyano Flashback recuperó instrucciones de una cuenta de Twitter. Whitewell Trojan utilizó Facebook como punto de encuentro para redirigir los bots al servidor C&C … Los resultados han sido mixtos. Los administradores de red rara vez bloquean estos servicios porque se utilizan en todas partes y, por lo tanto, el tráfico C&C es más difícil de distinguir. Por otro lado, los canales de C&C están nuevamente centralizados y empresas como Twitter y Google los toman rápidamente.
Lo que ocurre con frecuencia es un juego de golpear un topo entre policías y delincuentes, en el que la policía derribar repetidamente dominios o cualquier otra infraestructura web que se esté utilizando, solo para que los mismos delincuentes reconstituyan y recuperen la botnet y vuelvan a funcionar a través de un medio diferente.
Sin embargo, Glupteba parece haber cambiado el juego: según Google y otros analistas de seguridad que han examinado las actividades de la pandilla, la empresa criminal parece haber encontrado la manera perfecta de hacerse impermeable a las interrupciones. ¿Cómo? Aprovechando la infraestructura a prueba de manipulaciones de Bitcoin blockchain.
A prueba de balas a través de Blockchain
Para los ciberdelincuentes, el problema de cómo mantenerse conectados con sus manadas de bots se puede resolver mediante la creación de un mecanismo de respaldo. Si el servidor C2 primario y su dominio asociado obtienen eliminado por la policía, el malware dentro de los dispositivos infectados puede diseñarse para buscar en la web otro dominio C2 de respaldo, que luego resucita toda la red infectada.
Por lo general, los delincuentes codificarán estos dominios web de respaldo en el propio malware. (Código difícil es la práctica de incrustar datos directamente en el código fuente de un programa en particular.) De esta manera, el botmaster puede registrar montones de copias de seguridad. Pero, eventualmente, hay un límite para la efectividad de esta estrategia. En algún momento, la botnet se quedará sin nuevas direcciones porque solo se puede codificar una cantidad finita en el malware.
En el caso de Glupteba, sin embargo, la pandilla ha eludido este problema por completo: en lugar de codificar dominios web en el malware, codificaron tres direcciones de billetera Bitcoin en él. Con estas direcciones, Glupteba ha logrado configurar una interfaz infalible entre sus rebaños de bots y su infraestructura C2 a través de una función poco conocida conocida como “OP_Return. ”
OP_Return es una característica controvertida de las carteras Bitcoin que permite la entrada de texto arbitrario en transacciones. Básicamente funciona como el equivalente criptográfico de Campo “memo” de Venmo. Glupteba ha aprovechado esta característica utilizándola como canal de comunicación. El malware dentro de los dispositivos infectados está diseñado para que, en caso de que uno de los servidores C2 de la botnet se desconecte, los dispositivos escaneen la cadena de bloques pública de Bitcoin en busca de transacciones asociadas con las carteras de Glupteba. Dentro de esas billeteras, a través del campo OP_Return, los ciberdelincuentes pueden ingresar continuamente nuevas direcciones de dominio, que su botnet está diseñada para reconocer y redireccionar.
Chainalysis, una empresa de análisis de blockchain, jugó un papel clave para ayudar al equipo de seguridad de Google a investigar todo esto. En una entrevista con Gizmodo, la directora senior de investigaciones y programas especiales de la compañía, Erin Plante, dijo que el uso de la cadena de bloques por parte de los criminales presenta desafíos únicos y potencialmente insuperables para la aplicación de la ley.
“Cuando la botnet pierde la comunicación con un dominio C2, generalmente porque hay algún tipo de acción policial, la botnet sabe que debe escanear toda la cadena de bloques pública de Bitcoin y busca transacciones entre esas tres direcciones de Bitcoin”, dijo Plante. En otras palabras, cada vez que se elimina un dominio C2, Glupteba puede reconstituirse automáticamente a través de una nueva dirección de dominio enviada a través de las billeteras criptográficas de la pandilla.
La naturaleza descentralizada de la cadena de bloques significa que realmente no hay forma de cuadra que estos mensajes pasen o incapaciten las direcciones criptográficas asociadas, dijo Plante. De hecho, como criptoentusiastas he señalado a menudo, la cadena de bloques se considera “sin censura” y “a prueba de manipulaciones”, porque no tiene ninguna autoridad general o entidad de gestión. Como tal, nadie puede apague las luces de la actividad maliciosa de Glupteba.
¿Se puede detener a Glupteba?
Entonces, eh, ¿qué hacer? Actualmente, las opciones no son excelentes, dice Shane Huntley, director del equipo TAG de Google.
“Este mecanismo de respaldo es muy resistente”, dijo Huntley, en un correo electrónico a Gizmodo. “Siempre que los atacantes tengan las claves de las carteras, podrán dirigir la botnet para que busque nuevos servidores”.
Plante parece igualmente pesimista. “Ciertamente es un modelo que, si se replicara en ransomware u otras actividades ciberdelincuentes, es una posibilidad aterradora”, dijo. “En este punto, además eliminando un solo dominio C2 solo para que vuelva a funcionar unos días después, nadie ha podido encontrar una manera de detener esto “.
Huntley dijo que probablemente había otros ejemplos de delincuentes que usaban la cadena de bloques de esta manera, pero que la práctica definitivamente no se consideraba “común” en este momento.
“Sin embargo, el factor atenuante es que cada vez que hagan esto, será público y se pueden tomar más medidas”, dijo Huntley, haciendo referencia a la naturaleza implícitamente pública de la cadena de bloques. Debido a su formato abierto, Huntley dijo que el equipo de amenazas de Google puede seguir rastreando las transacciones de los delincuentes. “Ya los hemos visto dirigir la botnet a nuevos servidores y esos servidores ahora también se han desactivado”.
En otras palabras, la botnet vivirá mientras los piratas informáticos se preocupen por seguir actualizándola. And profesionales de la seguridad tendrá que seguir rastreando sus actualizaciones hasta que los piratas informáticos se den por vencidos o sean detenidos en la vida real.
.