¿Qué es una botnet?

Una botnet es un conjunto de dispositivos conectados a través de internet que han sido infectados por algún tipo de malware y reciben órdenes por parte de un tercer actor. Estos dispositivos se conocen generalmente como ‘bots’ o ‘zombies’ y son coordinados de forma remota por un ciberdelincuente o bot herder para realizar ataques a gran escala. Cualquier dispositivo que esté conectado a la red ya sea ordenadores, routers, dispositivos IoT pueden llegar a formar parte de esta red.

Arquitectura de una red botnet

Generalmente la estructura de una red botnet se puede lograr mediante tres aproximaciones.

Modelo Cliente-Servidor

Las tareas que realizan los dispositivos infectados son dirigidas desde un servidor central conocido como C&C (Command & Control) y se comunican mediante protocolos como IRC ( Internal Relay Chat).

Modelo Proxy

Con el fin de dificultar la tarea de encontrar el servido C&C, se establece una serie de máquinas intermediarias o proxies. Ahora los clientes en lugar de comunicarse directamente con el servidor C&C lo hacen a través de los proxies y estos con el servidor C&C.

Modelo P2P

Esta es una aproximación descentralizada en la que los dispositivos infectados actúan tanto como clientes como C&C. Los comandos se propagan de bot a bot y para mantener el control, el bot Herder solo necesita tener contacto con cualquier máquina infecta. Este modelo es la evolución de las anteriores haciendo más difícil tumbar la botnet.

¿Cómo se infectan los equipos?

Existen distintos métodos de infección, entre ellos:

• Troyanos.
• Vulnerabilidades de día cero.
• Configuraciones inseguras.

¿Cuál es el objetivo de una botnet?

Como cualquier acto de ciberdelincuencia, su finalidad es la de obtener algún tipo de beneficio económico. Este se puede lograr a través de diferentes caminos, los más comunes son:

• Ataques de denegación de servicio o DDoS: este ataque se basa en la saturación de algún tipo de servicio, como una página web, hasta el punto de que deje de funcionar. Para ello utilizan un número elevado de estos bots de manera que accedan de forma simultánea al servicio hasta el punto de que colapsen el servicio.
• Envío de spam: envío masivo de correos fraudulentos con el fin de realizar estafas de tipo phising o distribuir malware.
• Venta y alquiler de la botnet: otra opción como viene siendo cada vez más común entre los delincuentes es vender un servicio. Su intención es vender estas redes a terceros que carecen de conocimientos para crearlas pero que desean realizar este tipo de ataque contra alguna entidad.
• Minado de criptomonedas:  el minado de criptomonedas es un proceso que requiere una gran cantidad de recursos hardware. Esto supone un coste elevado, pero existe una opción mucho menos costosa que es utilizar la red botnet. De esta forma los recursos utilizados para minar criptomonedas son los de la red zombie en lugar de los suyos, aumentando los beneficios de esta forma.

¿Forma mi empresa parte de una botnet?

A través de incibe podemos encontrar una herramienta para comprobar si algún dispositivo que este conectado a nuestra red forma parte de alguna botnet. Su funcionamiento se base en identificar si la dirección IP pública de la empresa forma parte de alguna red botnet. La herramienta se puede encontrar en el siguiente enlace: https://www.incibe.es/protege-tu-empresa/herramientas/servicio-antibotnet.

Publicado el 24 de Junio de 2022
Por Francisco Javier García
Departamento de Ciberseguridad

En estos últimos días habrás escuchado en las noticias sobre Pegasus, el producto estrella de la empresa israelí NSO Group. Este spyware capaz de recopilar información de sus víctimas casi sin dejar rastro se descubrió en agosto del  2016 por Citizen Lab, este malware se ha estado usando y comercializando desde el 2012.

Pero, ¿Cómo son capaces de infectar los móviles? Hemos analizado un manual de la propia plataforma Pegasus. Aunque el manual sea probablemente del año 2012, el malware a día de hoy puede ser igual o más potente.

¿De qué es capaz Pegasus?

Pegasus es capaz de infectar dispositivos basados en Android, iOS, BlackBerry y Symbian (aunque estos dos últimos es probable que ya no lo soporten en la actualidad).

Este software es capaz de:

• Extraer contactos, mensajes, emails, fotos, archivos, localizaciones, contraseñas, etc.
• Interceptar llamadas y geolocalizar a la víctima.
• Un consumo mínimo de los recursos del dispositivo para ser totalmente transparente a la víctima.
• Apenas deja rastro en el dispositivo.
• Mecanismo de autodestrucción en caso de riesgo.

La recolección de datos lo podemos dividir en 4 categorías:

• Extracción de datos existente en la memoria del dispositivo.
• Monitorización pasiva de nueva información que recibe el móvil.
• Recopilación activa mediante la activación de la cámara, micrófono, GPS y otros elementos para capturar información en tiempo real.
• Recolección basado en eventos con escenarios previamente definidos para mandar datos de forma automática cuando se cumple las condiciones de dichos escenarios con escenarios.

Vectores de ataque

Los ataques se pueden realizar una vez que se conoce el número de teléfono de la víctima, a partir de ahí podemos diferenciar dos modalidades de infección que vamos a categorizar por el número de pasos que debe seguir la víctima para que llegue a una instalación exitosa en el dispositivo de la víctima:

Infecciones de 1 click

Se manda a la víctima un enlace con algún mensaje creado por ingeniería social para que la víctima haga click en en enlace. Una vez que acceda al enlace el malware se instala en el terminal sin ninguna acción más de la víctima. Estos mensajes suelen ser SMS, correos o mensajes que se hacen pasar por bancos, aplicaciones, plataformas que use la víctima, etc.
Infecciones de 0 click

Este tipo de ataques son muchos más sofisticados. Hacen uso de vulnerabilidades 0-day (Vulnerabilidades no conocidas en la última versión del software que aún no han sido parcheadas) para infectar a la víctima, y para ello solo necesitan el número de teléfono de la víctima.

Se ha descubierto que usaban vulnerabilidades no parcheadas de aplicaciones tan utilizadas como WhatsApp e iMessage capaces de infectar dispositivos sin ninguna interacción de la víctima y sobre todo sin ningún conocimiento de la víctima sobre ello.

Infraestructura de la aplicación

Una vez que infectada a la víctima o víctimas, los agentes pueden acceder a todo tipo de recursos del dispositivo de la víctima en una interfaz gráfica.

Para mantener esta plataforma de espionaje, NSO Group puede entrenar y formar a los clientes en un programa de 15 semanas. Puede parecer mucho pero para el tamaño de la infraestructura que utiliza la aplicación es bastante rápido.

Publicado el 27 de Mayo de 2022
Por Alberto López
Departamento de Ciberseguridad

Orígenes

Es posible que estas últimas semanas hayas oído hablar del software Pegasus. Pegasus es un spyware desarrollado por la empresa israelí NSO Group Technologies, sus orígenes se encuentran en un grupo de ex miembros del cuerpo de inteligencia israelí. Se describen como una empresa que desarrolla software para combatir el crimen y el terrorismo, pero veremos como la práctica difiere de la teoría. Aunque es una empresa privada, está estrechamente relacionada con el gobierno israelí, el cual califica a Pegasus como un arma y cualquier exportación del arma debe ser aprobada por el gobierno previamente.

A grandes rasgos Pegasus es un malware que recopila información de un dispositivo, en este caso un teléfono móvil, y se lo transmite a una entidad externa sin el conocimiento o consentimiento de la víctima, aprovechando vulnerabilidades del sistema operativo. Es capaz de rastrear localizaciones, enviar y recibir mensajes o recopilar fotos entre otras muchas cosas. Es un software muy sofisticado que no deja rastros.

Casos de Espionaje

A partir de que el gobierno israelí concediera licencias para exportarla a gobiernos extranjeros, nunca a entidades privadas, se ha estado usando la herramienta por terceros. Uno de los primeros usos que se conocen fue para espiar a Joaquim Guzmán conocido como “El Chapo” en el 2011 por parte del gobierno mejicano.

En 2016 se descubrió por primera vez el uso de la herramienta, por parte de Lookout y Citizen Lab, cuando los Emiratos Árabes Unidos lo utilizaron para atacar al activista Ahmed Mansoor. En aquel momento Mansoor recibió varios mensajes de texto con un enlace a información sobre torturas a prisioneros por parte de este país. Este primer ataque fue realizado explotando vulnerabilidades de un móvil con sistema iOS, más tarde se descubrió que el software también había sido instalado en sistemas Android.

Desde entonces ha seguido una larga ristra de usuarios de la herramienta desde países africanos como Ghana o Marruecos, occidentales como Hungría o de oriente medio como Arabia Saudí o Emiratos Árabes Unidos.

Obviamente esta información no se sabe a ciencia cierta ya que todo lo que rodea a casos de espionaje se encuentra bastante opaco y no se puede determinar con exactitud. Lo que sí sabemos es que entre sus víctimas podemos encontrar grupos terroristas, narcotraficantes, pero principalmente; presidentes, ministros o activistas en favor de los derechos humanos que van en contra de determinados países con regímenes autocráticos. Presidentes como el de Francia o el de España han sido víctimas, esto deja en evidencia a los servicios de inteligencia por parte de estos países, así como demuestra lo difícil que es detectar este spyware.

Uno viendo todos estos casos se podría preguntar si uno mismo puede haber sido víctima, pero es poco probable ya que adquirir esta herramienta vendría a costar unos 500.000$ o incluso llegar hasta los millones de dólares. Es por esto que están enfocadas a víctimas muy concretas, aun así, existen herramientas que nos permiten comprobar si nuestro móvil ha sido infectado como MVT (Mobile Verification Toolkit) desarrollada por Amnistía Internacional.

Publicado el 27 de Mayo de 2022
Por Francisco Javier García
Departamento de Ciberseguridad