Existen distintas maneras de gestionar las acciones de una botnet, una de las más clásicas es a través de un canal de IRC (Internet Relay Chat). Otro método muy utilizado, es a través de otra computadora infectada, que cumple la función de servidor.

Sin embargo, han aparecido nuevas técnicas como la detectada por el investigador José Nazario, quien reportó el uso de cuentas en Twitter y otros sitios similares de la llamada Web 2.0 (o sea, la Internet interactiva), como cadenas de control de botnets.

Twitter es un servicio de microblogging que está siendo cada vez más utilizado por sus usuarios. La idea original era decir a otras personas “¿qué estoy haciendo ahora?”. Cada nuevo mensaje que el usuario publica, es enviado a todos aquellos que se estén suscriptos a ese canal.

Nazario descubrió una cuenta que agregaba en todos sus mensajes un texto corto con números y letras. Después de analizarlo y decodificarlo pudo ver que era una dirección de Internet que llevaba a la descarga de un archivo comprimido, no solo con instrucciones, sino también con mejoras o nuevas versiones del malware existente en el equipo infectado.

Esa cuenta y otra similar, pero en otra empresa con el mismo servicio, fueron desactivadas tras alertar al departamento de seguridad respectivo.

Algunos comentarios sugieren que parte del malware descubierto se encuentra relacionado con una campaña de phishing, montada para obtener credenciales de usuarios del Banco de Brasil, en ese país.

Share on Facebook

El ataque logró deshabilitar el sitio de Twitter, que fue la más afectada de las tres víctimas. Aunque sus páginas de búsqueda aún funcionaban, sus usuarios no podían publicar ni leer tweets.

Twitter estuvo desconectado por dos horas a causa del ataque, pero aún después de volver a funcionar la empresa dijo que seguía defendiéndose y recuperándose del ataque.

Facebook también fue el blanco de un ataque de negación de servicio pero, a diferencia de Twitter, pudo resistir mejor el ataque y su sitio siguió funcionando, aunque de forma interrumpida.

Aun no se conoce qué red zombi lanzó los ataques, ni si fue la misma red la que atacó a los tres sitios.

Algunos expertos creen que los dueños de una red zombi pudieron haber lanzado los ataques para demostrar a algún cliente potencial el poder de su red.

Otros piensan que los cibercriminales que controlan la red zombi Koobface pudieron haber estado detrás del ataque, pues justo hoy se comenzó a detectar una nueva ola de ataques de Koobface en Twitter.

Tampoco se sabe con certeza por qué Facebook pudo defenderse mejor de los ataques que Twitter. Uno de los factores importantes puede ser que Facebook tiene varios servidores distribuidos en todo el mundo, mientras que Twitter, a pesar de su gran cantidad de usuarios, tiene una menor cantidad de servidores y la mayoría se encuentra en los EEUU.

También es posible que los delincuentes hayan atacado con más fuerza a Twitter que al resto de los sitios afectados.

“No me sorprendería que las autoridades de crímenes informáticos se esfuercen al máximo en rastrear al responsable de estos ataques. Después de todo, si pueden hacer que una red social deje de funcionar, pueden hacer lo mismo con sitios de bancos”, opinó Graham Cluley, de la empresa Sophos.

Share on Facebook

En el siguiente link podrán ver los updates a medida que se van publicando: http://status.twitter.com/post/157191978/ongoing-denial-of-service-attack

Share on Facebook