[09/12/2021] En colaboración con varios proveedores de infraestructura y alojamiento de Internet, incluido Cloudflare, Google ha interrumpido el funcionamiento de una agresiva red de bots de Windows conocida como Glupteba que se distribuía a través de anuncios falsos. Además, servía como red de distribución de otros programas maliciosos. La compañía también presentó una demanda contra dos individuos que se cree que están basados en Rusia y que desempeñan un papel fundamental en el funcionamiento de la red de bots.
La acción de Google se dirigió a la infraestructura clave de mando y control, como los servidores y los nombres de dominio utilizados por Glupteba, así como a muchas cuentas falsas en los servicios de Google que se utilizaban para distribuirlo. Aunque se trata de un duro golpe para la red de bots, cuyo tamaño se estima en más de dos millones de computadoras, es poco probable que sea su fin, ya que Glupteba tiene un mecanismo de mando y control (C&C) de reserva que se basa en la cadena de bloques de Bitcoin. Esto le proporciona resistencia frente a los intentos de desmantelamiento.
"Hemos eliminado alrededor de 63 millones de documentos de Google que se ha observado que distribuían Glupteba, 1.183 cuentas de Google, 908 proyectos en la nube y 870 cuentas de anuncios de Google asociadas a su distribución", señalan los investigadores del Grupo de Análisis de Amenazas de Google en un informe. "Además, 3,5 millones de usuarios fueron advertidos antes de descargar un archivo malicioso a través de los avisos de Google Safe Browsing".
¿Qué es Glupteba?
Glupteba es un programa malicioso para Windows con un componente de rootkit que proporciona capacidades avanzadas de sigilo y autodefensa, y una variedad de componentes adicionales o plugins que amplían su funcionalidad. Estos incluyen la minería de criptomonedas, el robo de contraseñas y cookies de los navegadores, la propagación a través de la red local, el compromiso de los routers MikroTik locales y su uso como proxies para el tráfico malicioso, y el envenenamiento de la caché DNS para dirigir a los usuarios de la red local a sitios web falsos.
El conjunto de características de Glupteba le permite actuar como descargador de otro malware y hay pruebas de que se ha utilizado para distribuir malware para otros actores de amenazas. Un ejemplo de ello es la red de bots Meris DDoS, que se sabe que abusa de los routers MikroTik.
El dropper Glupteba, el principal componente del malware, se distribuye de varias maneras, pero principalmente a través de páginas web falsas y mensajes en sitios de medios sociales que promueven versiones piratas de aplicaciones y juegos comerciales populares. También se han observado anuncios maliciosos distribuidos a través de redes publicitarias que enlazan con el malware, promocionando falsas aplicaciones de comercio de criptomonedas y otros servicios. Los atacantes utilizaron cuentas de Google para publicar comentarios de spam en YouTube y alojar documentos con enlaces al malware en Google Docs.
Para propagarse a otros sistemas de la red local, Glupteba utiliza un plugin que aprovecha la vulnerabilidad EternalBlue SMB. Toda la comunicación con los servidores de mando y control se realiza a través de otro componente que actúa como proxy local.
Tras la instalación, el dropper utiliza las tareas programadas del sistema y herramientas del sistema como certutil para ejecutarse y establecer la persistencia. También añade excepciones a Windows Defender para las carpetas de malware, mata continuamente el proceso de Windows Update y despliega dos controladores del sistema cuyo objetivo es ocultar el proceso de malware.
Reacción de comando y control a través de la cadena de bloques de Bitcoin
La botnet viene con URLs de comando y control codificadas en el binario, pero tiene un mecanismo para actualizarlas después de la instalación en caso de que los dominios hayan cambiado. Además, existe un mecanismo de conmutación por error que se activa cuando el cliente de la botnet no puede alcanzar ninguno de los dominios de C&C actuales. En tal caso, intentará extraer nuevos dominios a partir de las últimas transacciones en tres carteras de Bitcoin.
Todas las transacciones de Bitcoin se registran en la cadena de bloques pública de Bitcoin, que es esencialmente un libro de contabilidad digital que se distribuye a todos los sistemas que participan en la red de Bitcoin. Bitcoin no admite de forma nativa el concepto de notas de transacción, ya que esto añadiría datos a todas las transacciones haciendo que el blockchain sea innecesariamente más grande. Sin embargo, hay una manera de insertar una cantidad limitada de datos arbitrarios (40 bytes) en una transacción de Bitcoin utilizando un campo llamado OP_RETURN. Aunque este campo fue pensado para casos de uso específicos, técnicamente puede usarse para almacenar cualquier cosa y es más que suficiente para almacenar un nombre de dominio.
Siempre que quieran actualizar los dominios de C&C, los operadores de Glupteba pueden simplemente iniciar una transacción desde uno de los tres monederos, e incluir un nuevo nombre de dominio en forma cifrada en el campo OP_RETURN de la transacción. El malware está programado para buscar la última transacción, tomar los datos OP_RETURN cifrados de la misma y descifrarlos utilizando una clave AES codificada y luego conectarse al nuevo nombre de dominio. Dado que la cadena de bloques de Bitcoin nunca puede interrumpirse y los registros de transacciones son permanentes e inmodificables, incluso en ausencia de servidores de C&C funcionales, los atacantes tienen una forma de recuperar el control de la red de bots siempre que tengan el control de uno de los monederos de Bitcoin.
"Desafortunadamente, el uso de la tecnología blockchain por parte de Glupteba como mecanismo de resiliencia es notable en este caso, y se está convirtiendo en una práctica más común entre las organizaciones de ciberdelincuentes", dijeron el vicepresidente de seguridad de Google, Royal Hansen, y la consejera general de la compañía, Halimah DeLaine Prado, en una publicación conjunta en su blog. "La naturaleza descentralizada de blockchain permite a la red de bots recuperarse más rápidamente de las interrupciones, lo que hace que sean mucho más difíciles de cerrar. Estamos trabajando estrechamente con la industria y el gobierno en la lucha contra este tipo de comportamiento, de modo que incluso si Glupteba vuelve, Internet estará mejor protegido contra él".
La acción legal tiene precedentes
Google presentó una demanda en el Distrito Sur de Nueva York contra dos individuos llamados Dmitry Starovikov y Alexander Filippov, que se cree que residen en Rusia, por abuso y fraude informático, suplantación de identidad, infracción de marcas, publicidad falsa, competencia desleal y otros. Además de la indemnización por daños y perjuicios, Google solicitó una orden de restricción temporal, así como una orden judicial permanente que impida a cualquier persona "ayudar, colaborar o instigar a cualquier otra persona o entidad comercial a realizar cualquiera de las actividades" descritas en la demanda. Si se concede, esta orden judicial puede ayudar a Google y a sus socios en sus esfuerzos por bloquear a los atacantes para que no utilicen nombres de dominio, servidores y otros servicios e infraestructuras de las empresas que tendrían que cumplir la orden judicial.
Esta estrategia de demandar a los operadores de botnets para conseguir órdenes judiciales que ayuden o aceleren los esfuerzos de retirada de infraestructuras no es nueva. El año pasado, Microsoft presentó demandas por infracción de derechos de autor contra los operadores de la red de bots Trickbot para obtener una orden judicial que permitiera a la empresa y a sus socios cortar la infraestructura clave y perturbar gravemente la red de bots.
Basado en el artículo de Lucian Constantin (CSO) y editado por CIO Perú