“Cuando vimos que más de doce millones de direcciones IP estaban involucradas en la botnet Mariposa nos quedamos helados”

Hablamos con Luis Corrons, director técnico de Panda Security, que nos cuenta en primera persona los pasos que se dieron en la desaticulación de la Botnet Mariposa, compuesta por 13 millones de ordenadores.

Puede describirnos los pasos que se dieron desde que Panda Security descubre la Botnet hasta que se desatircula?

En Mayo de 2009, Defence Intelligence hizo público el descubrimiento de una nueva red de bots, bautizada como “Mariposa”. Además de la información facilitada en su momento, se empezó un trabajo que ha durado meses, cuyo objetivo era acabar con una red criminal que estaba detrás de lo que iba a convertirse en una de las mayores redes de bots de la historia.

Lo primero que se hizo fue crear el Mariposa Working Group (MWG), del que forman parte Defence Intelligence, el Georgia Institute of Technology y Panda Security; junto a expertos de seguridad y agencias y cuerpos de seguridad de diferentes países, la idea era aunar fuerzas para tratar de eliminar la botnet y llevar a los criminales ante la justicia.

Una vez recogida toda la información, lo más importante era planificar cómo quitar el control de la red a los criminales que estaban detrás, así como poder identificarlos. Una vez localizados los diferentes paneles de control desde los que mandaban instrucciones a la red, pudimos ver qué tipo de actividades llevaban a cabo. Principalmente se dedicaban a alquilar partes de la red de bots a otros criminales, robo de credenciales de los equipos infectados, cambio de resultados a los usuarios cuando utilizaban motores de búsqueda (Google, etc.), y mostrar popups de publicidad.

La finalidad, como se puede ver, era puramente económica. El grupo de delincuentes detrás de Mariposa se hacía llamar DDP Team (Días de Pesadilla Team), información que logramos más tarde cuando, debido a un error fatal, pudimos descubrir a uno de los cabecillas de la banda.

Localizar a los criminales se volvió realmente complicado, ya que siempre se conectaban a los servidores de control de Mariposa a través de servicios anónimos de VPN (Virtual Private Network, Red Privada Virtual), lo que imposibilitaba localizar la dirección IP real que tenían, la mejor pista que nos podría llevar hasta ellos.

El día 23 de Diciembre de 2009, en una operación coordinada a nivel mundial, el Mariposa Working Group consiguió cortar el control de Mariposa al grupo de delincuentes. El líder de la banda, alias Netkairo, se puso nervioso e intentó recuperar el control de la red de bots a toda costa. Como he comentado anteriormente, para conectarse a los servidores de control de Mariposa usaba servicios anónimos de VPN, que impedían localizar su ubicación real, pero en una de las ocasiones en las que trataba de recuperar el control de la red de bots cometió un error fatal: se conectó directamente desde el ordenador de su casa y olvidó utilizar la VPN.

Netkairo finalmente consiguió recuperar el control de Mariposa, y a continuación lanzó un ataque de denegación de servicio contra Defence Intelligence utilizando todos los bots que tenía a su disposición. Este ataque afectó seriamente a un gran Proveedor de Acceso a Internet (ISP) y dejó sin conectividad durante varias horas a multitud de clientes, entre los que se encontraban centros universitarios y administrativos de Canadá.

Finalmente el Mariposa Working Group consiguió que el DDP Team perdiera de nuevo el acceso a Mariposa. Cambiamos la configuración DNS de los servidores a los que se conectaban los bots, de tal forma que pudimos ver la cantidad de bots que estaban reportando. El resultado nos dejó helados cuando vimos que más de 12 millones de direcciónes IP se estaban conectando y enviando información a los servidores de control, convirtiendo a Mariposa en una de las redes de bots más grandes de la historia.

El 3 de Febrero de 2010, la Guardia Civil procedió a la detención de Netkairo. Se trataba de F.C.R., español, de 31 años de edad. Tras su detención, las fuerzas de seguridad incautaron material informático, cuyo análisis forense llevó a la policía a localizar a otros dos componentes de la banda, también españoles: J.P.R., de 30 años, alias “jonyloleante”, y J.B.R., de 25 años, alias “ostiator”. Ambos fueron arrestados el 24 de Febrero de 2010.

Las fuerzas de seguridad aún están realizando análisis forenses sobre el material incautado, estudiando la información robada, pero los cálculos preliminares debido al fraude, robos financieros, pérdida de información y costes de limpieza se estiman en millones de dólares.