|
Orihuela
(Alicante) - 3 marzo 2010 - Orihuela Digital
- La Guardia Civil, en colaboración con el FBI y Panda
Security, ha detenido a tres ciudadanos españoles
-en Balmaseda (Vizcaya), en
Santiago de Compostela (A Coruña) y en
Molina de Segura (Murcia), que controlaban más de 13 millones de ordenadores
infectados, denominados “zombis”, de los que
obtenían datos personales y financieros.
|
Por el número de ordenadores que la integraban, ésta
puede ser una de las botnets (acrónimo de robot y
red en inglés) más grandes que se han detectado. Con
ella se podría realizar un ataque de ciberterrorismo
muy superior a los realizados contra Estonia o
Georgia.
Copiaban los datos personales y financieros de los
ordenadores infectados, pertenecientes a
particulares, empresas y organismos oficiales de más
de 190 países. Se ha localizado información personal de más de
800.000 usuarios, compuesta por datos de acceso a
cuentas de correo electrónico, a servicios de banca
electrónica, a redes corporativas, etc.
En los registros practicados en los domicilios de
los detenidos se han intervenido ordenadores,
material informático e información personal de más
de 800.000 usuarios. Los datos obtenidos por los
ahora detenidos podían utilizarlos para sí o
alquilarlos a bandas organizadas dedicadas al fraude
bancario.
La denominada BOTNET MARIPOSA fue detectada en mayo
del pasado año por técnicos de la empresa canadiense
Defence Intelligence, quienes crearon un grupo de
trabajo para su seguimiento, junto con la empresa
española Panda Security y el Georgia Tech
Information Security Center.
Paralelamente, el FBI inició una investigación sobre
esta misma botnet, pudiendo averiguar que estaba
implicado un ciudadano español, por lo que se puso
en conocimiento de la Guardia Civil.
A partir de entonces se avanzó en la investigación
de forma coordinada, lo que permitió conocer los
vectores de infección de la botnet y sus canales de
control de los ordenadores ajenos. Asimismo, se pudo
determinar la existencia de un grupo de habla
hispana, identificado como DDPTEAM, que había
adquirido en el mercado del “malware” (programas
maliciosos) el troyano utilizado.
Red de robots
Una botnet es un conjunto de ordenadores infectados
con un programa malicioso, que están bajo control de
su administrador o “botmaster”. Para su control, los
ordenadores infectados, conocidos como zombies o
bots, se conectan a un equipo llamado Command &
Control (C&C) donde reciben instrucciones.
Las botnets pueden ser utilizadas para robar
información de los propios equipos o para el uso
clandestino de los mismos (envío de spam, atacar a
terceros equipos o provocar denegaciones de servicio
–DoS-). El botmaster puede utilizar esa información
para sí o alquilarla a terceros, muy habitual en
bandas organizadas dedicadas al fraude bancario.
El pasado mes de diciembre, identificados
prácticamente todos los canales de control de esta
botnet, se procedió de una forma coordinada a nivel
internacional a bloquear los dominios que habían
utilizado. Éstos se localizaban principalmente en
dos prestadores de servicio americanos y uno
español.
Como consecuencia de esta acción, probablemente como
acto de venganza, se produjo un importante ataque de
denegación de servicio a la empresa Defence
Intelligence, afectando seriamente a un gran
Proveedor de Acceso a Internet (ISP) y dejando sin
conectividad durante varias horas a multitud de
clientes, entre los que se encontraban centros
universitarios y administrativos de Canadá.
Esta acción permitió conocer el resto de canales de
control de la botnet, que finalmente han sido
bloqueados, a falta de dos pequeños servidores que
controlan muy pocos equipos informáticos.
Detenidos
Tras el bloqueo de los dominios, se logró
identificar al máximo responsable del DDPTEAM, que
se autodenominaba “netkairo” o “hamlet1917”,
procediéndose a su detención en su localidad de
residencia, Balmaseda (Vizcaya), el pasado mes de
febrero.
En el registro domiciliario se intervinieron varios
equipos informáticos que están siendo analizados, en
los que se encontraron numerosas evidencias de su
actividad delictiva y de la identidad de otros
miembros del grupo, lo que ha permitido que la
pasada semana, se procediera a la detención de los
otros dos españoles miembros del grupo, “OsTiaToR”,
en Santiago de Compostela (A Coruña), y
“Johnyloleante” en Molina de Segura (Murcia). |
|
Los detenidos son una persona de 31 años de edad y
residente en Balmaseda (Vizcaya);
otra de 30 años
de edad y residente en Molina de Segura (Murcia); y
otro joven de 25 años de edad y residente en Santiago
de Compostela (A Coruña).
Se investiga la participación de un cuarto miembro
del grupo, identificado como “fénix”, que podría ser
venezolano, para lo que se han instado los canales
de cooperación policial internacional para su
identificación y detención.
Colaboración de Panda
Security y del Prestador de Servicio CDMON
La coordinación de las actuaciones técnicas por
parte de Panda Security y la
colaboración del Prestador de Servicio CDMON han
sido vitales para la investigación.
Las actuaciones coordinadas y conjuntas de distintas
fuerzas policiales internacionales y la Guardia
Civil, junto con el esfuerzo de la industria del
mundo de la seguridad en Internet, han permitido
hacer frente a la amenaza global del cibercrimen.
Ante el potencial riesgo del uso de la botnet para
un ataque de magnitudes importantes en cualquier
parte del mundo y por la existencia de ciudadanos
españoles involucrados, la Audiencia Nacional
dirigió la investigación, instruyéndose diligencias
previas en el Juzgado Central de Instrucción 5.
|
NOTICIAS RELACIONADAS
en ORIHUELA DIGITAL
=>
SUCESOS
|
|
