Mariposa

botnet

Henrique Silva
 Botnet
Botnet é uma rede de computadores infectados que podem ser
controlados remotamente e forçados a enviar spam, espalhar
malware ou preparar ataques de DDoS sem o consentimento
dos proprietários do dispositivo. Os pastores de bot infectam
computadores para formar botnets, que controlam como um
grupo para iniciar ataques cibernéticos em larga escala, enviar
spam e conduzir campanhas de phishing
 Descoberta
Em maio de 2009, a Defence Intelligence anunciou a
descoberta de uma nova botnet, apelidada de
"Mariposa". Essa descoberta foi seguida por meses de
investigação, com o objetivo de derrubar a rede
criminosa por trás do que viria a se tornar um dos
maiores botnets já registrados.
 Estratégia de Defesa
Os passos iniciais envolveram a criação do Grupo de Trabalho Mariposa
(MWG), composto pela Inteligência de Defesa, o Centro de Segurança da
Informação da Georgia Tech e a Panda Security, juntamente com outros
especialistas em segurança internacional e agências de aplicação da lei. O
objetivo era criar uma força-tarefa para erradicar a botnet e levar os
autores à Justiça.
 Estratégia de Defesa
Uma vez que todas as informações foram compiladas, o objetivo principal
era tirar o controle da rede dos cibercriminosos e identificá-los. Tendo
localizado os servidores de Command & Control (C&C) a partir dos quais os
comandos foram enviados para a rede, pudemos ver os tipos de atividades
para as quais a botnet estava sendo usada. Estes envolviam
principalmente o aluguel de partes da botnet para outros criminosos, roubo
de credenciais confidenciais de computadores infectados, alterações nos
resultados mostrados nos mecanismos de busca (como o Google, etc.) e
exibição de anúncios pop-up.
 Objetivo
O objetivo, em todos os casos, era claramente lucrar
com a botnet. A facção criminosa por trás de Mariposa
chamava-se DDP Team (DÃas de Pesadilla Team -
Nightmare Days Team em inglês), como descobrimos
mais tarde quando um dos supostos líderes da
quadrilha escorregou, permitindo identificá-lo.
 Como Enganavam
Rastrear os criminosos por trás dessa operação se
tornou extremamente complexo, pois eles sempre se
conectaram aos servidores de controle da Mariposa a
partir de serviços anônimos de VPN (Virtual Private
Network), impedindo que identificássemos seus
endereços IP reais.
 O Erro Fatal
Em 23 de dezembro de 2009, em uma operação internacional conjunta, o
Grupo de Trabalho Mariposa foi capaz de assumir o controle de Mariposa. O
líder da gangue, vulgo Netkairo, aparentemente abalado, tentou a todo
custo recuperar o controle da botnet. Como mencionei antes, para se
conectar aos servidores Mariposa C&C os criminosos usaram serviços VPN
anônimos para cobrir seus rastros, mas em uma ocasião, ao tentar obter o
controle da botnet, Netkairo cometeu um erro fatal: ele se conectou
diretamente de seu computador doméstico em vez de usar a VPN.
 As Vítimas
As vítimas de Mariposa incluem usuários domésticos,
empresas, agências governamentais e universidades
em mais de 190 países. Christopher Davis, CEO da
Defence Intelligence, ilustra o significado dessas
infecções: "Seria mais fácil para mim fornecer uma lista
das empresas da Fortune 1000 que não foram
comprometidas, em vez da longa lista das que foram ™".
 Dados Roubados
Os dados roubados incluem detalhes da conta bancária,
números de cartão de crédito, nomes de usuário,
senhas, etc. O material digital apreendido durante a
prisão de Netkairo, membros da equipe DDP, incluía
dados roubados pertencentes a mais de 800 mil
usuários.