Expertos en seguridad informática tanto del sector privado como del Gobierno de EE.UU. están analizando la aparición de un nuevo tipo de herramienta "cracker" altamente sofisticada que usa el mismo sistema que las redes de intercambio P2P, como Kazaa o BearShare. Según las primeras estimaciones, cientos de miles de PCs han sido ya infectados en todo el mundo. Esta herramienta de ataque que los expertos han denominado "Phatbot", permite a sus autores tomar el control de los ordenadores y unirlos a las redes P2P usándolos para enviar cantidades enormes de mensajes de correo electrónico no deseado (spam) o colapsar sitios Web mediante denegaciones de servicio en una tentativa de dejarlos inutilizados. Este nuevo tipo de amenaza cracker fue descubierto por funcionarios del Departamente de Seguridad de EE.UU., quienes dieron la alarma poniéndose inmediatamente en contacto con un grupo escogido de expertos en seguridad de ordenadores. En la alarma, la agencia advirtió que el "Phatbot" roba las contraseñas y los números de serie de los programas en los ordenadores infectados, es tremendamente mutable (polimórfico) e intenta además con éxito inutilizar el software de los antivirus y de cortafuegos instalados.
Una copia de dicha alarma del Departamento de Seguridad fue puesta a disposición del Washington Post por dos fuentes distintas, quienes insistieron en ocultar sus identidades a fin de no arriesgarse a perder en el futuro su accesos a las alarmas informáticas del gobierno. Funcionarios en el Departamento de Seguridad y del CERT (una agencia de supervisión de Seguridad informática financiada por el Gobierno) confirmaron que el mensaje era auténtico.
El Phatbot es "un tipo agresivo de software de ataque que funciona como una 'navaja suiza'" ha confesado Vincent Weafer, Director de Respuestas de Seguridad Informatica en Cupertino, delegación de Symantec (Norton) en California.
Joe Stewart, un investigador en la empresa Lurhq, especializada en seguridad, ha catalogado las características internas que el Phatbot incluye: "fuerte capacidad polimórfica en una tentativa de evadir firmas de antivirus permitiendo extenderse de sistema en sistema sin ser detectado"; "acaparar conexiones a las cuentas personales de AOL y sus contraseñas"; "envíar masivamente spam" "y "sniffar el tráfico en la Red para enviar cookies", entre otras muchas…
El Phatbot es una nueva modalidad de Troyano-Gusano (al estilo del Fizzer, pero mucho más agresivo) que ha despertado la preocupación y el interés entre los expertos porque representa un avanzado salto en sofisticación de este tipo de programas y demuestra lo difícil que lo van a tener las autoridades para aplicar las Leyes, resultando además difícilmente eliminable por las empresas de Antivirus. Como otros Caballos de Troya tradicionales, Phatbot puede infectar los ordenadores mediante varios métodos, como por ejemplo bugs de defectos de seguridad en el sistema operativo o por "puertas traseras" abiertas en máquinas ya infectadas por gusanos como el "Mydoom" o el "Bagle". Pero a diferencia de otros troyanos que actúan individualmente, el Phatbot al transmitirse por una inmensa red de tipo P2P, puede ser usado por los crackers para enviar ordenes masivas a las máquinas infectadas por muchas vías diferentes, siendo muy difícil prevenir un ataque enorme al no existir forma de desinfectar al mismo tiempo cada ordenador afectado o evitar su rápida propagación, sin conocimiento de los usuarios, cuyos antivirus y cortafuegos son anulados en el momento de la infección.
"La preocupación aquí radica en sus características P2P que hace que este tipo de armas cibernéticas sean enormemente resistentes y muy difíciles de erradicar" explicó un funcionario de Seguridad Informática del Departamento de Seguridad Nacional, quien no quiso ser identificado porque el Departamento todavía considera si hay que publicar o emitir algún tipo de alarma pública sobre el Phatbot.
"Con este tipo de redes troyanas P2P, incluso si se detienen por la fuerza la mitad de las máquinas afectadas, el resto de la Red infectada sigue trabajando perfectamente y sin ningún tipo de restricciones y, además, sin poder ser detenida o inmunizada al anular todos los antivirus y cortafuegos" confesó Mikko Hypponen, el director de F-Secure, famosa empresa antivirus ubicada en Finlandia.
Roger Lawson, Director de Informática y Tecnología de la Información en la Universidad de Vermón, explicó que puso en cuarentena más de 200 ordenadores -más del 5% de las máquinas de toda la red de la Universidad- debido a infecciones del Phatbot. "Ninguno de los programas antivirus descubrió al troyano y, al intentar eliminarlo, provocó que el Phatbot se autoreprodujera y comenzara de nuevo su infección", según dijo.
La alta capacidad de Phatbot de inutilizar el software de seguridad (antivirus y firewalls) en los ordenadores significa que el número estimado de PCs infectados podría elevarse a "varios cientos de miles", explicó Hypponen de la empresa de antivirus F-Secure.
Algunos expertos informáticos aseguran que la infección podría ser aún mayor: Igor Ybema, administrador de redes en la Universidad de Twente, en Holanda, eleva el número entre 1 millón y 2 millones de ordenadores infectados. Su conclusión está basada en un comando del Phatbot que fuerza a los ordenadores infectados a probar su velocidad de conexión a Internet enviando un fichero a uno de los 22 servidores Web expresamente seleccionados en el mundo entero, uno de ellos en esta Universidad de Holanda. Según explicó, Twente comenzó a supervisar el tráfico de ordenadores que controlan las pruebas a mediados de febrero, detectando a comienzos de la semana pasada, un promedio de 200,000 a 300,000 peticiones de pruebas de velocidad diarias, lo cual demuestra que los atacantes que antes usaban otras herramientas troyanas menos sofisticadas y de acceso remoto como NetBus, BackOrifice o SubSeven están ahora usando Phatbot para controlar centenares de miles de ordenadores al mismo tiempo mediante su capacidad intrínseca P2P. La mayoría de las infecciones parece que provienen de conexiones de banda ancha de usuarios y de universidades en los Estados Unidos y de la región de Asia-Océano Pacífico, muchos de ellos infectados sin saberlo.
A principios de este mes, Ingenieros de Redes en la Universidad Santa Cruz en California supervisaron el mismo tipo de tráfico de pruebas de velocidad observado por Ybema en Holanda. Mark Boolootian, el ingeniero que descubrió la actividad, explicó que una las razones que pueden explicar que los ordenadores infectados pueden estar desarrollando pruebas de velocidad se debe a la capacidad de Phatbot de idear métodos para comprobar cómo enviar aún más rápidamente grandes cantidades de spam o el envío masivo de datos para echar abajo servidores Web de páginas de gran importancia y prestigio como Yahoo, Amazon, CNN, eBay o Microsoft mediante ataques de denegacion de servicio.
El simple hecho de pensar que cientos de miles de máquinas estén infectadas ya por este nuevo tipo de navaja suiza en forma de troyano sofisticado es aún más peligroso que cualquier ataque imaginado hasta este momento, incluyendo los ya famosos gusanos MyDoom, Bagle o Netsky. Aunque catalogado en este momento aún como de baja peligrosidad por empresas como McAfee (que lo define como gusano) o por Kaspersky (que los define como troyano), lo cierto es que este nuevo tipo de herramienta cracker, que en sí funciona como gusano, como troyano, como herramienta DoS y como Nuke ponen de manifiesto la vulnerabilidad de las redes ante un ataque global generalizado.
En sí, este nuevo virus como unidad individual no es importante; su fuerza radica en la infección generalizada al mismo tiempo de cientos de miles de máquinas en todo el mundo actuando coordinadamente: robar gran parte del ancho de banda de las redes internacionales para el envío de correo no deseado, robar contraseñas o propagar denegaciones de servicios generalizadas es algo que supera con mucho la peligrosidad de otros virus que requieren la actuación directa del usario para su propagación. Una caída global en la Red Inet es igual para todos, independientemente del sistema operativo… Otra nueva forma de virus capaces de echar abajo las redes de todo el mundo mediante el envío masivo de spams o denegaciones de Servicio se está acercando y Phatbot está a la cabeza de ellos. El futuro de nuevos virus, cada vez más peligrosos y sofisticados, ya está aquí…
Más información en:
Yahoo:
story.news.yahoo.com/news?tmpl=story&cid…44_2004mar17
Washington Post:
(en ambos aparece la noticia para suscriptores como Hackers Embrace P2P Concept, siendo la 1ª noticia de Informática más emitida hoy en EE.UU. mediante correo electrónico)
CNET:
news.com.com/2100-1009_3-5175025.html?tag=nefd_top
F-Secure ha puesto en circulación una herramienta de desinfección en:
ftp://ftp.f-secure.com/anti-virus/tools/f-agobot.zip
McAfee:
