La infraestructura del cibercrimen nunca muere realmente


A pesar de la eliminación de los operadores de amenazas «CyberBunker» en 2019, el tráfico de comando y control continúa informando al espacio de direcciones de crimson desaparecido.

Nueve meses después de que la policía alemana allanó un búnker de la era de la Guerra Fría y cerró el grupo que opera el servicio cibercriminal, el tráfico de comando y regulate (C2) y otros datos de la pink continúan intentando utilizar el espacio de direcciones de Online asignado al grupo, según a un análisis publicado por el Instituto de Tecnología SANS el martes.

El análisis, parte de una tesis de maestría, encontró que muchos signos reveladores de la operación del delito cibernético continuaron llegando a través de Online. Gran parte del tráfico parece estar relacionado con posibles servidores C2 de botnet, que podrían haber sido alojados en la operación, pero también incluyen actividad de phishing, contenido pornográfico, fraude publicitario y posibles signos de operaciones de ataque de denegación de servicio.

El análisis muestra que automatizar la infraestructura cibercriminal continuará produciendo tráfico y podría proporcionar a los defensores información sobre computadoras infectadas con clientes de botnet y otros hosts comprometidos, dice Karim Lalji, consultor de seguridad de la firma canadiense de telecomunicaciones TELUS y autor del informe.

«Si bien esto no es nada nuevo, me sorprende la cantidad de actividad que aún se lleva a cabo casi nueve meses después de que la instalación de alojamiento fuera allanada por la policía», dice Lalji. «Los servidores fueron literalmente retirados de la propiedad y destrozados por analistas forenses, pero todavía hay mucho tráfico».

los análisis ofrece una visión interesante de la escala de operaciones de una operación cibercriminal bien conocida. Un número significativo de operaciones cibercriminales que utilizaron los servicios de CyberBunker parecen haber dejado atrás su infraestructura automatizada, y que, a pesar de haberse cerrado el año anterior, muchos continúan llegando al servicio cerrado.

«Una cosa que intentamos tener en cuenta es que las redes no han estado &#39activas&#39 en varios meses, por lo que si bien los intentos de descubrir la actividad del mercado de drogas, los bienes robados y el contenido ilícito arrojaron pocos resultados, es muy probable que estuvieran allí en algún momento punto «, dice Lalji. «Los datos también tuvieron que ser muestreados debido al gran tamaño».

El CyberBunker operado en Alemania es la segunda instalación de ese tipo allanada por la policía. En 2013, el primer CyberBunker, con sede en Amsterdam y operado por algunas de las mismas personas, fue cerrado por la policía, luego de ataques extendidos de denegación de servicio contra la coalición antispam SpamHaus.

La instalación cerrada en 2019, denominada «CyberBunker 2.» por el grupo que opera el servicio, se basó en una propiedad de tres acres en la ciudad alemana de Traben-Trarbach. En una operación masiva, más de 650 agentes de la policía federal, incluida una unidad táctica, allanaron la propiedad en septiembre de 2019, supuestamente confiscar 200 servidores, una variedad de otras tecnologías y efectivo. Siete personas fueron arrestadas y se emitieron órdenes de arresto contra otras seis personas. La redada resultó en el cierre de varios sitios del mercado oscuro, incluidos los principales vendedores de drogas y narcóticos.

SANS obtuvo acceso a las tres subredes después de que el propietario de la crimson les vendió un proveedor de alojamiento, lo que permitió a SANS capturar el tráfico para su análisis.

El análisis filtró el típico «ruido de fondo» que cualquier servidor conectado a Net podría encontrar, incluidos los ataques de fuerza bruta, escaneos de vulnerabilidades y búsquedas de puertos abiertos. El sistema honeypot SANS utilizaba un sniffer de purple, instancias de servidores web Apache y servidores FTP, y un firewall.

Lalji advirtió que solo se podrían capturar algunos signos de actividad ilegal y que sería difícil llegar a conclusiones firmes sobre lo que se había alojado en la red.

«Analizar estas solicitudes proporciona fuertes indicios sobre la actividad de la red, pero no necesariamente arroja resultados concluyentes», escribió Lalji en el informe. «Además, los arrestos del grupo adversario tuvieron lugar seis meses antes de este análisis, lo que aumenta la probabilidad de una reducción en el tráfico ilegal activo en el período previo a este examen».

Sin embargo, un hallazgo interesante es el papel descomunal que las fuentes en Brasil aparentemente tenían como clientes de CyberBunker. El análisis mostró que Brasil es una de las principales fuentes y destinos de los paquetes recibidos por el honeypot SANS. Si bien el volumen de datos de purple provenientes de Brasil coloca al país en la parte superior de la lista, gran parte de la información fue producida por algunas fuentes importantes, dice Lalji.

«Si bien es possible que haya una variedad mucho más grande, algunos de los principales conversadores de IP que tienen geodatos asociados con IP brasileñas están asociados con DNS», dice Lalji.

Otros aspectos interesantes del análisis incluyen que al menos una botnet que usa el servicio parecía ocultar el tráfico C2 en el tráfico de World wide web Relay Chat pasado por la World-wide-web (puerto 80). SANS detectó tráfico de más de 7,000 direcciones de origen únicas. El tráfico incluyó como parte de las solicitudes casi 2,000 nombres de computadora, según el informe.

«Este tipo de patrón de tráfico es generalmente demasiado preciso para ser generado por humanos», afirmó Lalji en el análisis. «Según el comportamiento de este tráfico, es muy probable que sea el resultado de una red de bots IRC, que tradicionalmente ha sido una técnica well known utilizada por los adversarios».

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para ese «día realmente malo» en ciberseguridad. Haga clic para más información y para registrarse para este evento bajo demanda.

Periodista veterano en tecnología de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Darkish Looking at, MIT&#39s Engineering Critique, Well-known Science y Wired Information. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más thoughts





Enlace a la noticia original