El poder de la red Spam
Lunes, 14 de Enero de 2008
El año 2008 no tiene buenos pronósticos para el spam o los mensajes no solicitados que vemos inundar nuestras casillas de correo todos los días. El spam esta en aumento y al parecer no hay tendencias que demuestran que podría disminuir este año o incluso el entrante.
El año pasado 2007 demostró el poder que tienen los spammers y ciber criminales en el mundo con su red Storm. La red Storm o también llamada Storm botnet es una red de millones de computadoras zombie infectadas. Luego de la infección la computadora puede ser controlada de forma remota sin noción del usuario. La infección se produce mediante el envió de mensajes email infectados o mediante la descarga de programas de origen dudoso.
La red Storm de esta forma puede controlar remotamente las maquinas o computadores infectados para un cierto propósito como enviar Spam, infectar otras maquinas o realizar ataques DOS distribuidos contra empresas, redes e incluso países enteros.
El poder de la red Storm así como su propiedad es de origen desconocido, aunque se cree que podría tener vinculación el criminal y Spammer ruso Leo Kuvayev.
La red se detecto oficialmente como una red organizada a principios del año 2007 y el numero de sistemas infectados o bajo control se desconoce aunque los números van desde 1 millón a 50 millones de computadoras según analistas de seguridad.
Algunos analistas de seguridad rastreando maquinas infectadas estiman el numero en 160.000 maquinas infectadas a la fecha.
La red Storm tiene el poder de todas estas maquinas y juntas pueden realizar ataques programados y dejar sin Internet incluso a países enteros. Se estima que el poder de procesamiento de la red es mas potente que las supercomputadoras mas poderosas del mercado aunque mas que el poder de procesamiento lo que debe preocupar es el ancho de banda que dispone Storm con estas maquinas juntas. Si juntamos 500 supercomputadoras Storm gana ampliamente con solo 2 millones de sus maquinas infectadas.
El calculo podría ser de hasta 4 millones de conexiones ADSL a Internet. Storm infecta computadores con el sistema operativo Windows y actúa como un gran organismo vivo. Storm tiene un segmento completo dedicado exclusivamente a enviar mails con spam, phishing, troyanos o viruses para infectar otras maquinas. Se defiende contra ataques o cualquier intento de rastrearlo y puede mutar en minutos así como esconderse para no ser detectado y utilizar todo el poder de su red para hacer caer una segmento entero de Internet.
Storm utiliza encriptación de datos para no ser descifrado, puede re codificarse cada 2 horas y mutar cada 1 minuto para que los antivirus no puedan detectar las nuevas variantes. Todos los intentos por detectar su origen han fallado ya que Storm no tiene un centro de control unificado y actúa como servicio distribuido similar a las redes P2P. Cambia constantemente de direcciones IP, DNS e incluso ataca si se siente amenazado.
La red Storm es responsable del envió de billones de mensajes spam y virus todos los días. Los servidores finales que controlan este gran monstruo utilizan una técnica llamada Fast Flux por el cual puede modificar o cambiar de servidores DNS, Servidores de Mail y maquina infectada en minutos evitando su rastreo, detección o cualquier intento por descubrir su origen. Al no haber un cerebro central, Storm no se puede desactivar. Se cree que actualmente Storm esta utilizando tan solamente el 20% de su capacidad y poder.
En algún momento Storm comenzó a difundir millones de variantes de los archivos con los cuales infecta una PC confundiendo a todas las empresas desarrolladoras de antivirus y seguridad. Hay casos en los que Storm realizo ataques contundentes como el caso de la empresa Blue Security la cual ofrecía servicios AntiSpam. Unos días luego del ataque DOS anuncio el cierre de su aplicación y herramienta antispam Blue Frog.
Según un analista de IBM Joshua Corman, esta es la primera vez en la cual los analistas tienen medio de investigar un elemento malicioso en Internet.
Todavía no se sabe si Storm se defiende de forma automática o mediante la orden de una persona humana pero si uno se pone a investigarlo, este automáticamente lo detecta y lo castiga de forma inmediata. En varios casos Storm ataco la red y sitios web de las empresas que lo estaban analizando como en el caso de SecureWorks donde hizo caer la red donde los analistas estaban investigando al bot Storm. Es como si fuera un organismo vivo que se defiende.
Varios sitios y empresas de soluciones antispam han sido victimas de ataques DOS. Volviéndolas completamente inutilizables mientras duraba el ataque. Según el webmaster de Artists Against 419 el servidor sucumbió luego de que la transferencia de datos escalo a 400 Gigabits por hora o el equivalente a 170.000 conexiones ADSL. Con esta cantidad de flujo de datos, es imposible mitigar un ataque de Storm, el cual se cree que ya realizo ataques del doble de capacidad. Según cálculos, Storm podría dejar a pequeños países enteros sin Internet si lo deseara, saturando completamente la conexión con cientos de Gigabit de trafico por segundo haciendo colapsar las redes.
Algunas maquinas infectadas con Storm pueden defenderse de manera local y detectan cualquier programa nuevo que se ejecute. Así mismo detecta la mayoría de los antivirus y el mismo engaña al programa permitiendoles que se ejecute y corra libremente sin ninguna anomalía cuando en realidad no se estuvo ejecutando . De esta forma una maquina infectada con Storm tiene una apariencia normal a diferencia de otros virus o troyanos que paran el antivirus o presentan errores.
Algunos investigadores advirtieron que solo es suficiente con hacer clics varias veces en un sitio infectado con Storm para que este se vuelva contra uno y lo ataque dejándolo sin Internet o dejando una red entera sin conexión como en el caso del investigador Brandon Enright. El cual estaba investigando Storm desde la Universidad de California en San Diego. Según el analista solo fue suficiente recargar un paar de veces la pagina web infectada con Storm para que este realizara un ataque de negación de servicio y dejara a la Universidad sin conexión.
Para este año se identifico que Storm se dividió en algunas partes y se podrían estar vendiendo segmentos enteros de computadoras infectadas con Storm a otros ciber criminales interesados o Spammers que desean utilizar la red de Storm para enviar sus mensajes no solicitados.
El 2008 predice que Storm seguirá activo inundando las casillas de correo con viruses y spam. Microsoft con su herramienta de eliminación de software mal intencionado anuncio que pudo desinfectar mas de 270.000 maquinas luego de escanear 2.6 millones. Pero se cree que esto representa tan solo el 20% o menos de la red total de Storm y las maquinas desinfectadas eran su mayoría computadores de hogar los cuales al parecer no formaban parte activa de la red.
Se detecto que Storm fue reducido ampliamente en Octubre del 2007 pero seguirá siendo una amenaza real, seria y peligrosa en el 2008 sobre todo en materia de envió de virus, troyanos y otras herramientas que podrían poner en peligro la seguridad de nuestros sistemas.
Storm es el nombre que se le dio a la red porque empezó a enviar mensajes con virus (el troyano que infecta la computadora) en Enero del 2007 y coincidía con fuertes tormentas en Europa. El virus esta diseñado para robar información personal y secuestrar la computadora para agregarla a la red botnet Storm.
El mensaje original del email enviado era “230 dead as storm batters Europe” y luego se fue modificando a “Russian missile shot down USA aircraft” o “Saddam Hussein alive!”
El email tiene un archivo infectado con el nombre de Downloader-BAI o AUTH-W32/Downloader y si uno hace clic en el mismo la computadora quedara automáticamente infectada. El programa luego intenta recopilar informacion personal en la computadora como direcciones email, información financiera y números de tarjetas de crédito. Esta informacion se envía a un lugar remoto de los creadores del virus. La informacion la utilizan luego para la suplantación de identidad o venden la misma. El virus luego crea un puerta de entrada o backdoor mediante un troyano para poder tomar el control de la maquina y utilizarla junto al resto de las computadoras infectadas y de esta forma crear la red botnet Storm. El asunto del mensaje va mutando constantemente.
Casualmente mientras fui creando este blog me intereso ver si Storm esta activo y me tope con una desagradable sorpresa. Storm estuvo mas activo que nunca desde Diciembre del año pasado hasta la fecha de hoy donde escribo este blog. Al parecer esta atacando nuestros correos personales de la empresa. El daño que podría hacer un troyano como este es inimaginable. Por suerte nada paso y Storm solo sirve para aumentar nuestras estadísticas y hacernos reír mientras queda atrapado en nuestra solución Antivirus/Antispam mas avanzada.
Y aquí el reporte de Virus enviado a las direcciones @pydot.com Diciembre 2007 a la fecha:
Virus entrante por Nombre - De 12-01-2007 a 01-11-2008 (42 días)
Virus Nombre - Virus Detectado - Virus Bytes
AUTH-W32/Trojan.BXRL 229 12,435,622
AUTH-W32/Document-disguised-b 2 402,676
AUTH-W32/Sality.AD 1 52,154
Total: 232 12,890,452
Disculpen el formato 
Los mensajes infectados nunca llegaron a las computadoras locales. Fueron eliminados directamente desde los servidores AntiSpam. De esta forma no hay que preocuparse de tener un Antivirus instalado en cada computador, o si están actualizados a la fecha. Reduce el tiempo de descarga de mails al no tener que descargarlos y nos asegura que un personal no desinstalo, desconfiguro o simplemente desactivo el antivirus en su maquina personal. Proteger los mails de una empresa es una necesidad, sobre todo con la información confidencial que se maneja. Nos ahorra dinero en licencias y tiempo manteniendo las casillas limpias. Como una barrera de seguridad que protege de los mails de Internet a nuestras computadoras locales.
Para protegerse de peligros contra su mail vea PASC
