Tormenta de gusanos

Por Gonzalo Piñeros

230 muertos por tormenta que azotó a Bogotá. Un titular de un mensaje impactante, desgarrador y noticioso (por fortuna falso) que reposa en el buzón de entrada de su correo electrónico. 

Usted mira a la ventana, la lluvia golpea los vidrios y afuera una multitud de paraguas se mueve en busca de refugio. Las imágenes que exhibieron los noticieros de TV con autos atrapados en inundaciones apocalípticas se integran al collage en su mente. Con un ánimo de preocupación y morbo, abre el mensaje. Sin notarlo, sin sentir dolor, casi como una inyección sin aguja, usted ha caído en la trampa. Su PC ahora le pertenece a un extraño. 

Así fue como en enero del 2007 nació Storm Worm (gusano), una amenaza que opera a través de Internet que engaña al usuario y mediante software maligno (denominado bot), oculto en mensajes de correo, busca convertir PC con Windows en ¿zombies¿; es decir, equipos controlados por un intruso desde Internet, para distribuir virus, spam (mensajes de correo no deseado) o atacar sitios web sin que el usuario lo note. El objetivo central es hacer de la máquina infectada parte de una red de bots (botnet).

En aquella oportunidad, Storm Worm se aprovechó del fuerte invierno que padeció Europa y con el mensaje ¿230 dead as storm batters Europe¿ (230 muertos por tormenta que azota a Europa) infectó a cada persona que abrió el archivo adjunto.

Una de las claves de Storm Worm es utilizar ingeniería social para atraer a las personas. Utiliza asuntos llamativos en los correos electrónicos que esconden el bot para captar la atención de la víctima: ¿Un asesino de 11 años es liberado a los 21 para matar otra vez¿, ¿Genocidios de musulmanes británicos¿ y ¿La secretaria de Estado de Estados Unidos pateó a la canciller alemana Angela Merkel¿ son algunos ejemplos.

El ataque inicia cuando el usuario abre el archivo adjunto que supuestamente contiene videos o fotografías de los hechos relacionados. Pero en realidad, contiene un bot que posteriormente ¿se comunica a través de redes de intercambio de archivos (P2P) para descargar componentes adicionales de esta amenaza web¿, sostuvo Alexis Garberis, portavoz de Trend Micro para Latinoamérica.

El poder de la tormenta

Storm Worm es paciente. Así lo definió, en la revista Wired (www.wired.com), Bruce Schneier, jefe de tecnología de la compañía de servicios de seguridad BT Counterpane. ¿Un gusano que ataca todo el tiempo es mucho más fácil de detectar; uno que ataca y se repliega por un rato es más fácil de esconder¿, dijo Schneier.

¿En el pasado se observaban ataques indiscriminados a través de virus que eran bastante notorios pues afectaban directamente el desempeño del PC¿, explicó Daniel Rojas, gerente de ventas de la firma de seguridad Symantec. Ahora, agregó el experto, se ha observado un incremento de los ataques silenciosos y puntuales, porque el objetivo es realizar estafas o fraudes electrónicos. 

El poder de Storm Worm radica en tres aspectos fundamentales: diseño, ingeniería social y modo de propagación. En el primer aspecto, de acuerdo con Schneier, la red de Storm Worm ¿está diseñada como una colonia de hormigas, con separaciones de trabajos y deberes¿. 

Del total de la red, solo una parte de PC infectados difunde el gusano; una más pequeña es denominada C2 (servidores de mando y control); y el resto se mantiene a la espera de órdenes. Sin embargo, la red solo permite que un pequeño número de PC propague el virus y actúe como C2. ¿Así se hace resistente a los ataques; incluso cuando los PC infectados son detectados y cerrados, gran parte de la red permanece intacta y otros PC pueden asumir esos trabajos¿, expuso el experto de BT Counterpane.

Además, el código malicioso que usa para propagarse, indicó Schneier, cambia cada 30 minutos o algo similar; esto hace que los tradicionales antivirus y técnicas de seguridad sean menos efectivos.

Para Joe Stewart, investigador de la empresa de seguridad SecureWorks, la capacidad de fragmentar la red de bots, le permitiría al creador de Storm Worm vender a otros delincuentes informáticos parte de su red de PC ¿zombies¿ para enviar spam, ¿y en este caso, podríamos ver más Storm Worm en el futuro¿.

Ingeniería actualizada

Por su parte, en cuanto a la ingeniería social que emplea Storm Worm, Luis Corrons, director técnico de la firma de seguridad PandaLabs, dijo que a ella le debe gran parte de su poder, ¿porque así ha conseguido engañar a muchos usuarios y, además, su creador ha realizado múltiples variantes para que su gusano esté activo el mayor tiempo posible¿.

Storm Worm no solo ha utilizado temas de actualidad o de impacto noticioso. Incluso se ha valido del amor para aumentar los miembros de su red de ¿zombies¿. ¿El milagro del amor¿, ¿Mi amor perfecto¿ y ¿Un ramo de amor¿ son algunos de los mensajes (en inglés) que rondan por Internet en busca de incautos usuarios.

Adicional a este ¿camuflaje¿ que le permite saltar los controles anti-spam y doblegar la seguridad de los administradores de correo, Storm Worm emplea un componente rootkit para evadir el software de seguridad instalado en el PC. Gracias a un rootkit, el atacante puede esconder en el PC diferentes tipos de virus sin ser detectado.

En tercer lugar, y no por ello menos relevante, está el modo de propagación de Storm Worm. Para Rafa Núñez, experto en seguridad informática, se calcula que la amenaza web puede enviar 1.800 correos basura en cinco minutos y que se propaga a través de redes de intercambio de archivos de Internet (redes punto a punto o P2P), que permiten el intercambio de archivos en forma directa entre los usuarios de ese software.

¿También, utiliza la técnica fast flux DNS (una herramienta que cambia los sistema de nombres de dominio) para que sea más difícil neutralizar la red de bots¿, añadió Núñez. De esta manera, cuando un PC infectado es aislado y depurado, y un servidor C2 es identificado, puede que para ese momento el PC que operaba como servidor ni siquiera esté activo.

Sobre el inventor de Storm Worm no se tiene mayor rastro. Algunos analistas creen que pueda ser un delincuente informático ruso, e incluso lo relacionan con grupos criminales organizados. Para Schneier, de BT Counterpane, la incertidumbre sobre el futuro es grande porque por ahora la amenaza web no está haciendo más que ganar fuerza y hostigar sitios web particulares que lo atacan: ¿Personalmente, estoy preocupado de qué planean los creadores de Storm Worm para la fase II¿. Es un hecho, se viene una tormenta de gusanos.

  • Una amenaza mutante

En septiembre del 2007, Matt Sergeant, jefe de tecnología anti-spam de la empresa especializada en el estudio del correo electrónico MessageLabs, estimó que la cifra de PC infectados por Storm Worm podría llegar a 50 millones de equipos, según el sitio de noticias InformationWeek (www.informationweek.com).

En el mismo mes, PCWord (www.pcworld.com) reportó que el sitio web del partido Republicano (una de las fuerzas políticas más representativas de Estados Unidos) fue atacado por Storm Worm e ¿infectó, por primera vez, vía web a los usuarios y no a través de archivos adjuntos¿, de acuerdo con Dan Hubbard, jefe de investigación de la firma de seguridad informática Websense.

También, Blogger (el sistema de gestión de blogs de Google, www.blogger.com) informó sobre el ataque de Storm Worm: desde PC infectados se creaba una entrada (post) falsa en un blog del sitio que invitaba a ingresar a una supuesta dirección del popular sitio de videos YouTube, pero, en realidad era una página web creada en el propio PC infectado.

Así mismo, en octubre del 2007, Bradley Anstis, portavoz de la compañía de seguridad Marshal, alertó, en el sitio especializado Cnet (www.news.com), sobre la explotación por parte de Storm Worm de la función de YouTube que permite a las personas invitar a sus amigos a ver un video y afirmó que cerca de 150 mil correos spam fueron originados desde cuentas del sitio de videos.

La reciente evolución de los ataques de Storm Worm se presenta en archivos adjuntos en formato MP3. Beatles.MP3, Elvis.MP3 o alrededor de 40 diferentes títulos musicales son el ¿gancho¿ de la epidemia. Sin embargo, ¿si usted los escucha, no se infectará¿, aseguró Robert Vamosi, editor de Cnet, quien añadió que los diferentes nombres y tamaños de los archivos tiene por objetivo confundir a las redes administradoras de correos.

  • Diccionario práctico de seguridad

Worm: gusano, en inglés. Es un tipo de virus informático denominado así por su capacidad para replicarse y pasar a otros computadores.

Bot: contracción de la palabra robot. Es un software que permite que el sistema del PC sea controlado remotamente sin el conocimiento ni consentimiento del usuario.

Rookit: conjunto de pequeños programas que se instalan en el núcleo del sistema operativo (como Windows XP) y que desde adentro del PC permiten trabajar silenciosamente y sin descanso a virus, software espía y gusanos, entre otros, pues no pueden ser detectados por los programas antivirus y antispyware.

  • Cómo protegerse

Para evitar que Storm Worm entre a su PC, los expertos recomiendan que como principal medida usted no debe abrir ningún correo electrónico de procedencia desconocida y menos ejecutar un archivo adjunto que llegue en uno de estos mensajes. También, aconsejan mantener actualizado el software antivirus y antispyware, y tener activo un firewall con reglas robustas.

Si usted quiere realizar un análisis para determinar si su PC está infectado y es parte de una red de bots, puede consultar algunos sitios web de las compañías de seguridad que ofrecen gratis este servicio. Uno de ellos es www.trendsecure.com/portal/en-US/tools/security_tools/housecall

]]>

Archivos