DNSChanger ha sido un malware muy mediático. Como es costumbre, desde
los medios generalistas se ha desinformado al usuario, y se ha puesto el
énfasis quizás en lo menos importante. Vamos a intentar destacar lo que
realmente nos parece relevante con respecto a este malware y, sobre
todo, analizar por qué el FBI ha actuado como lo ha hecho.
Todo comenzó a finales de 2011. Se volvía a poner de “moda” el malware
DNSChanger. Con titulares como “Llega un virus alta peligrosidad “DNS
Changer”” y frases como “diversos organismos de seguridad en Internet a
nivel mundial han alertado de la peligrosidad del virus DNS Changer,
[…] de difícil erradicación en los ordenadores afectados.” Se acercaba
la hora del supuesto apocalipsis. En aquel momento, nos dimos cuenta que
en VirusTotal había una especie de “revival” del mismo malware que, en
2008 era muy popular. En febrero lo comprobábamos y, 7 meses después,
vuelve a ocurrir. La mayoría de “DNSChangers” que llegan a VirusTotal en
estos momentos, ya lo hicieron en 2008.
http://3.bp.blogspot.com/-EEZ2qOnRw6w/T_wkeK92jII/AAAAAAAAApA/bGNdXuVoT2Y/s1600/DNSChanger1.png
La operación del FBI
Una vez detectados todos los servidores DNS a los que redirigía a las
víctimas, el FBI consiguió tomar el control de estas máquinas e hizo que
resolvieran a las direcciones correctas. Esto significa que eliminó el
principal objetivo del malware y que, a efectos prácticos, los usuarios
que tuvieran modificados sus DNS, no experimentaban ningún síntoma.
También les permitió conocer con cierta exactitud el número de víctimas,
puesto que solo tenían que comprobar la cantidad de conexiones DNS
establecidas en esos servidores. Pasaron de 800.000 IPs únicas
infectadas a mediados de 2011 a 250.000 el día previo al apagón.
http://3.bp.blogspot.com/-_RKXY6WpVRc/T_wktosP7oI/AAAAAAAAApI/RrHdsZh5OP8/s1600/DNSChanger2.png
Para el despliegue mediático que se ha sufrido, estas cantidades nos
parecen ridículas. Una vez más, si nos fijamos en Zeus (el malware más
popular, sofisticado a nivel de usuario, y efectivo del momento) tenemos
que Microsoft estima que en marzo de 2012 existían 13 millones de
sistemas infectados en todo el mundo. Sin duda son muchos más, puesto
que si algo tiene Zeus, es la capacidad de no ser detectado. Si a esto
unimos las infecciones de SpyEye u otras botnets, DNSChanger queda en
una anécdota.
¿Más datos? En mayo de 2011, abuse.ch publicó estas estadísticas.
http://2.bp.blogspot.com/-znWSKuhZksQ/T_wk3JXYWYI/AAAAAAAAApQ/Zvnf-GShSwM/s1600/DNSChanger3.jpg
Esta organización también toma el control de ciertos servidores usados
por los atacantes. Los llaman “sinkholes”. Son servidores a los que
acude el malware a aprovisionarse de actualizaciones o bien a dejar
datos robados. Los servidores “sinkholed” siguen respondiendo, pero
lógicamente, no con la carga maliciosa. Así, sabiendo el número de
visitas a estos sinkholes, pueden determinar el número de infectados. En
esta gráfica vemos que, en solo 24 horas, se podían observar botnets de
más de medio millón de IPs nuevas y únicas infectadas. Estos sistemas
infectados, sin embargo, no suelen ser tratados de ninguna forma ni,
mucho menos, desconectados de Internet. ¿Qué hay detrás del apagón a
DNSChanger entonces? Lanzamos algunas teorías en la siguiente entrega.
http://unaaldia.hispasec.com/2012/07/dnschanger-que-hay-detras-del-apagon-y.html
Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/07/dnschanger-que-hay-detras-del-apagon-i.html#comments
Más información
How Big is Big? Some Botnet Statistics
http://www.abuse.ch/?tag=sinkhole
DNS Changer – We’ll be redirecting customers
http://exchange.telstra.com.au/2012/07/09/dns-changer-we-ll-be-redirecting-customers/
Last Day of DCWG Data
http://www.dcwg.org/last-day-of-dcwg-data/
DNSChanger, una moda… ¿de 2008?
http://unaaldia.hispasec.com/2012/02/dnschanger-una-moda-de-2008.html
Microsoft Targets Zeus Botnets With Financial Services Partners
http://www.eweek.com/c/a/Security/Microsoft-Targets-Zeus-Botnets-with-Financial-Services-Partners-544534/
Sergio de los Santos
[email protected]
Twitter: @ssantosv
Reproducción realizada con autorización de la fuente
Image: FreeDigitalPhotos.net
Equipo de redacción del blog Derecho Informático que desde 2009 procura tener la información más actual para que estés bien informado con respecto a temas legales relacionados con las TIC.