Articles

Microsoft Interrumpe la Botnet ‘Nitol’ en el Barrido de Piratería

Microsoft dijo el jueves que convenció a un tribunal federal de Estados Unidos para que le otorgara control sobre una botnet que se cree que está estrechamente vinculada a versiones falsificadas de Windows que se vendieron en varias tiendas de computadoras en China. La victoria legal también destaca un servicio de Internet chino que, según los expertos, ha estado asociado durante mucho tiempo con ataques de espionaje dirigidos contra corporaciones estadounidenses y europeas.

Fuente: Microsoft.com

Microsoft dijo que buscaba interrumpir una operación de cadena de suministro falsificada que vendía versiones imitaciones de PC con Windows que venían precargadas con una variedad de malware llamado «Nitol», que permite a los atacantes controlar los sistemas desde lejos para una variedad de propósitos nefastos.

En documentos legales abiertos el jueves por el Tribunal de Distrito de los Estados Unidos para el Distrito Este de Virginia, Microsoft describió cómo sus investigadores compraron computadoras de varias ciudades de China, y encontró que aproximadamente el 20 por ciento de ellos ya estaban infectados con Nitol.

No está claro exactamente cuántos sistemas están infectados con Nitol, pero no parece ser una amenaza particularmente importante. Microsoft dijo al tribunal que había detectado casi 4.000 instancias de computadoras Windows infectadas con alguna versión del malware, pero que este número probablemente representaba «solo un subconjunto del número de computadoras infectadas».»La compañía dijo que la mayoría de las infecciones de Nitol y los servidores de Internet utilizados para controlar la red de bots se centraban en China, aunque varios Estados Unidos. los estados, incluidos California, Nueva York y Pensilvania, albergaban un número significativo de anfitriones comprometidos.

Apodadas «Operación b70» por Microsoft, las maniobras judiciales son las últimas de una serie de ataques legales sigilosos que el gigante del software ha ejecutado contra operaciones de ciberdelincuencia a gran escala. Los objetivos anteriores incluían las redes de bots Waledac, Rustock, Kelihos y ZeuS.

El objetivo principal de esta eliminación fue 3322.org, un proveedor chino de» DNS dinámico » (DDNS). Los proveedores de DDNS suelen ofrecer servicios gratuitos que permiten a millones de usuarios legítimos tener sitios web alojados en servidores que cambian con frecuencia sus direcciones de Internet. Este tipo de servicio es útil para las personas que desean alojar un sitio web en una dirección de Internet doméstica que puede cambiar de vez en cuando, porque los servicios de DNS dinámicos se pueden usar para asignar fácilmente el nombre de dominio a la nueva dirección de Internet del usuario cada vez que cambie.

Desafortunadamente, estos proveedores de DNS dinámicos son extremadamente populares en la comunidad de atacantes, porque permiten a los malos mantener sus sitios de malware y estafas incluso cuando los investigadores se esfuerzan por rastrear la dirección IP atacante y convencer al ISP responsable de esa dirección para que desconecte al malhechor. En tales casos, el DNS dinámico permite al propietario del dominio atacante simplemente redirigir el sitio de ataque a otra dirección de Internet que controle.

Microsoft dijo al tribunal que encontró «la asombrosa cantidad de 500 cepas diferentes de malware alojadas en más de 70 000 subdominios» en 3322.org. El tribunal concedió a Microsoft un control temporal sobre los servidores de nombres de ese dominio. Mientras 3322.org es propiedad de una empresa china, el registro dot-org está controlado por el Registro de Interés Público, una empresa con sede en Reston, Virginia.

Aunque Microsoft no abordó esto explícitamente en su presentación, los expertos dicen 3322.org durante mucho tiempo se ha asociado con malware utilizado en ataques altamente dirigidos destinados a robar secretos corporativos y gubernamentales de U.S. y otras firmas occidentales.

«La gran mayoría de las interacciones con el 3322.org los nombres de host para aquellos fuera de Asia, en particular los de los Estados Unidos, son maliciosos», dijo Steven Adair, un experto en seguridad con Shadowserver.org, una organización sin fines de lucro que ayuda a los ISP a rastrear ataques de malware. «Aunque no es tan frecuente ahora, el 3322.org domain ha sido un punto caliente para el malware utilizado para realizar espionaje cibernético durante varios años. Ya podemos decir que esta medida ha tenido un impacto en las operaciones de delitos cibernéticos.»

Pero no está claro cuán efectiva será esta acción para bloquear esa actividad, o más que interrumpir temporalmente las operaciones de Nitol.

Joe Stewart, director de investigación de malware de Dell SecureWorks, envió un mensaje a Twitter.com esta mañana señaló que solo el 57 por ciento de los subdominios que ha estado rastreando en relación con la actividad de ataque de tipo espionaje objetivo fueron interrumpidos por la acción de Microsoft.

Parte del problema puede ser que gran parte del malware llame a casa al 3322.org tiene instrucciones integradas en su composición genética para buscar comandos y actualizaciones de muchos otros proveedores de DNS dinámicos no afectados por la orden judicial, dijo Gunter Ollmann, vicepresidente de investigación de la firma de seguridad Damballa.

» Lo que hemos visto es que actualmente estamos rastreando alrededor de 70 botnets diferentes que tenían nombres de dominio de comando y control dentro de 3322″, dijo Ollmann. «Pero todos ellos tienen un nombre de dominio secundario fuera de 3322.org.»

Que puede complicar aún más las cosas, 3322.org ahora parece estar instruyendo a los usuarios afectados sobre cómo evitar que sus sitios sean redirigidos a los servidores de Microsoft.

Microsoft ha hecho que los documentos legales relacionados con este caso estén disponibles gratuitamente en noticeofpleadings.com

Deja una respuesta

Tu dirección de correo electrónico no será publicada.