Hace unos días la noticia, pasada en silencio como de costumbre, del desmantelamiento de la botnet Andrómeda siguiendo una operación cibernética internacional liderada por EUROPOL.
La botnet estuvo en funcionamiento por varios años ...
Pero comencemos desde el principio: ¿qué es una botnet?
Para aquellos que no están familiarizados con el mundo cibernético, la terminología puede ser un problema y corres el riesgo de perderse entre neologismos sin entender el concepto, por lo que intentaré ser lo más claro posible evitando el uso de tecnicismos.
Una red de bots es una red de computadoras infectadas (utilizo extensamente el término computadora, incluidos los dispositivos móviles, etc.). El agente infeccioso se llama "bot", y en el caso de Andrómeda es un "troyano", mientras que las computadoras infectadas se llaman "zombies". Una botnet está gobernada por un "maestro de bot" que utiliza sus recursos para fines generalmente maliciosos.
La botnet es Andromeda, o tal vez debería decir "era" una red conocida desde 2011. También es conocido por los nombres de "Gamarue" y "Wauchos". Opera en dispositivos con el 2000 los sistemas operativos Windows, Windows Server 2003, Windows XP (32 bits, 64 bits), Windows Vista (32 bits, 64 bits), Windows 7 (32 bits, 64 bits) todos pertenecen a la familia del sistema operativo Microsoft Windows. El troyano Andrómeda es capaz de realizar varias operaciones: puede verificar si se está ejecutando, puede descargar y ejecutar archivos, operar como un sistema de control remoto y, si es necesario, puede desinstalar de la máquina infectada para borrar los rastros de su presencia, también puede conectarse a una serie de sitios maliciosos. Una vez instalado en el sistema realiza copias de sí mismo que se distribuye en diversas partes del sistema operativo para garantizar la supervivencia.
Según Microsoft, la botnet se extendió por diferentes países de 223 y podría usar más de 2 millones de dispositivos infectados (pero parece que las cifras son mucho mayores) a través de las cuales podría realizar varios tipos de operaciones además de la denegación de servicio distribuido más común. (DDoS).
No es la primera vez que una operación cibernética desmantela una red de bots pero, en general, parte de la botnet todavía está activa y puede ser utilizada potencialmente por aquellos que pueden tomar posesión de ella. También es necesario considerar el hecho de que Andrómeda y sus variantes han estado en venta durante años y se han utilizado para instalar otras botnets, como por ejemplo Neutrino, y luego desinstalado para eliminar el seguimiento de enlaces.
El desmantelamiento de la botnet de Andrómeda, por una operación conjunta entre el FBI, EUROPOL y la policía alemana, se considera un paso importante, ya que se considera que esta red se ha utilizado para apoyar otra botnet conocida como Avalancha, a su vez, santificado al final del 2016. para Andrómeda un bielorruso de 37 años ha sido arrestado.
El uso de herramientas en línea nos permite verificar la difusión del troyano y sus variantes, y es posible ver que después del desmantelamiento de Andrómeda continúan existiendo variantes activas en todo el mundo.
Como se puede ver en el mapa, la infección se ha extendido principalmente en Europa, India, América Central y América del Sur.
Italia también está muy afectada y me sorprende la falta de una campaña de sensibilización que debería incluir un mínimo de información sobre cómo detectar la infección y su eliminación. Desafortunadamente, en Italia todavía existe la sensibilidad adecuada para este tipo de problemas que se consideran prerrogativa de los técnicos.
Nada podría estar más mal. No son los técnicos quienes deciden el enfoque del mundo cibernético, esta es la tarea de quienes toman las decisiones que naturalmente deben ser capaces de entender cuál es el problema y cómo comportarse a su nivel, tal vez simplemente aumentando el número de expertos en seguridad en su compañía o reservando una mayor proporción de recursos para el sector cibernético.
Pero, ¿qué se puede decir desde el punto de vista militar?
En general, una botnet es una estructura compleja, lo que significa que lleva tiempo ponerla de pie y mantenerla. Además, la atención y la experiencia deben mantenerse para mantenerlo en secreto, esperando ser utilizado.
Una gran organización militar a nivel estatal puede tener interés en crear una o más botnets para ser utilizadas en operaciones cibernéticas. Una botnet es ciertamente útil en la fase de preparación de un ataque APT (Amenaza persistente avanzada) cuidadosamente planeado.
En principio, una red de bots se puede utilizar para la preparación de un complejo de ataque cibernético tal como un DDoS o para la recogida de información. Pero este no parece ser el caso con Andrómeda. Esto no significa que Andrómeda también podría haber sido utilizado para operaciones militares y se han observado algunas conexiones con una operación cibernética de APT llamada Operación Tribu Transparente contra personal militar y diplomático indio en el 2016.
Una cosa es cierta, destruyó una botnet, seguramente se creará una nueva.
Para obtener más información:
- https://www.certnazionale.it/news/2017/12/06/smantellata-la-botnet-andro...
- https://www.europol.europa.eu/newsroom/news/andromeda-botnet-dismantled-...
- https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/ANDROMEDA;
- http://resources.infosecinstitute.com/andromeda-bot-analysis/;
- https://www.itnews.com.au/news/police-security-vendors-take-down-androme...
- http://www.virusradar.com/en/Win32_KillAV/map;
- https://www.itworldcanada.com/article/canadian-threat-researchers-help-t...
- https://www.welivesecurity.com/2017/12/04/eset-helps-law-enforcement-wor...
- https://www.us-cert.gov/ncas/alerts/TA16-336A;
- https://researchcenter.paloaltonetworks.com/2016/03/unit42-projectm-link...
https://www.proofpoint.com/us/threat-insight/post/Operation-Transparent-....
