02 marzo 2010

Detenidos 3 botmasters con 13 millones de PCs en sus bolsillos

El diario Publico.es publicaba la noticia sobre la detención por parte de la Guardia Civil de 3 botmasters que tenían a su cargo un conjunto de 13 millones de PCs, que no está nada mal. En la noticia se notifica que mañana el Grupo de Delitos Telemáticos de la Guardia Civil ofrecerá una rueda de prensa para dar más detalles sobre esta operación, pero la agencia de noticias Associated Press nos deleita con mucha información de interés sobre este hecho, y así tener una base mientras esperamos dicha rueda de prensa.

Yo personalmente me quedo con los siguientes párrafos que os paso a resumir brevemente:

Spanish investigators, working with private computer-security firms, have arrested the three alleged ringleaders of the so-called Mariposa botnet, which appeared in December 2008 and grew into one of the biggest weapons of cybercrime. More arrests are expected soon in other countries.

Ya sabemos que la botnet corresponde con la denominada Mariposa, que se detectó a mediados del 2009, y de la que tenéis un buen análisis técnico en este informe (100% recomendada su lectura, en PDF) de la compañía Defintel que la descubrió.

Also, the suspects go against the stereotype of genius programmers often associated with cyber crime. The suspects weren't brilliant hackers but had underworld contacts who helped them build and operate the botnet, Cesar Lorenza, a captain with Spain's Guardia Civil, which is investigating the case, told The Associated Press.

El capitán de la Guardia Civil, Cesar Lorenza, comenta que no definen a los sospechosos como "hackers brillantes", pero sí con muy buenos contactos en el "underground". En los siguientes párrafos comenta además que son personas normales y corrientes, que no se corresponden con el perfil típico de las mafias del este, "con oros y cochazos". Simple y llanamente, normales.

Authorities identified them by their Internet handles and their ages: "netkairo," 31; "jonyloleante," 30; and "ostiator," 25.

Tenemos nicks y edades de los sospechosos, con unas pocas búsquedas en google, se puede conocer un poco más de ellos, gustos, y foros que frecuentan, así como inquietudes varias.

Critically, one suspect also made direct connections from his own computer to try and reclaim control of his botnet after authorities took it down around Christmas. Investigators were able to identify him based on that traffic. They were able to back up their claims with records from domains he registered where he would eventually host malicious content.

Uno de los sospechos realizó conexiones directas desde su ordenador y conexión habitual y personal para recuperar el control de la botnet cuando ésta había sido ya interceptada por las autoridades, en Navidades. Pequeño descuido, que juntándolo con varios...bueno, ya sabemos el final.

After seeing that some of the servers used to control computers in the botnet were located in Spain, Davis and researchers from the Georgia Tech Information Security Center joined with software firm Panda Security, which is headquartered in Bilbao, Spain.

En este caso, la cooperación internacional sirvió para el éxito de la operación, por lo que en los agradecimientos, Panda Security se merece un buen hueco.

De nuevo, además del análisis de la botnet en sí, recomendamos la lectura de esta noticia por parte de Associated Press, con más detalles de la operación, y quedamos a la espera de la información que mañana transmita la Guardia Civil en la rueda de prensa.

[+] Desmantelada una red de 13 millones de ordenadores 'zombies'

[+] Authorities bust 3 in infection of 13M computers - Inglés

11 comments :

lost-perdidos dijo...

@netkairo

Otro delincuente más en... "elhacker".net. A parte de configurar Bifrost, con 31 años el pobre no sabe ni escribir.

Alberaan dijo...

Me encanta este tipo de entradas. El como "pescan" a ciberdelicuentes siempre ha sido algo que me ha fascinado. Si además lo unimos a la inclusión de análisis de malware, hace que me guste más todavía.

José A. Guasch dijo...

@Alberaan muchas gracias por tus palabras. La verdad es que en este caso, que nos "pilla tan de cerca", creo que es conveniente conocer las armas de los protagonistas MUY en detalle, y que mejor, que tan magnífico análisis por los descubridores (hay más "disecciones" de la mariposa por ahí, conste en acta).

Anónimo dijo...

En el elhacker.net solo tiene un mensaje.

Se le ve mas activo por aquí:
http://www.google.es/search?q=netkairo+site:governmentsecurity.org

Santi Saez dijo...

Buscando por "Hamlet1917" llegamos hasta un post donde aparece un aviso de fraude.

http://tr.im/Qulq

La localidad del "hacker" coincide con la que se está hablando en los medios:

http://tr.im/Quqb

Parece que esos son los datos personales de Netkairo, muy discreto por el 2008 no era, la verdad. Supongo que ya es tarde para hacerle llegar la referencia a los "muleros" del análisis que se comentaba en SbD sobre INTECO y los troyanos bancarios :-D

Tirando del hilo, se llega hasta torrents en The Pirate Bay, en los que me juego un brazo a que están "infectados" y tendrá algo que ver con la botnet Mariposa:

http://thepiratebay.org/user/hamlet1917/

Voy a descargarlo :)

ANELKAOS dijo...

@lost-perdidos:
Que sean españoles no convierte a todos los españoles en delincuentes. De la misma forma que estar registrado en ese foro no implica que te dediques a cometer delitos. ¿O quieres que te liste las botnets que nos han intentado atacar?

"Otro de los detenidos, J. B. R., de 25 años, se identificaba bajo el nick de Ostiator y es de Santiago de Compostela. El tercer detenido, J.P.R. de 30 años, se identificaba como Johny Loleante y residía en Molina de Segura, en Murcia. No se trata de grandes expertos informáticos. Ellos no diseñaron la red, la compraron."

Caleb dijo...

Que bueno no? Y una empresa española como panda con el FBI, de pelicula!! jeje. Bueno pues tres indeseables menos, solo quedan unos cuantos millones. :P

Novlucker dijo...

Me encantan estos temas :)
Lo que si da "miedo", es lo que pueden llegar a hacer estos personajes con sus kits "point & shoot"

el-brujo dijo...

@lost-perdidos:

Otro delincuente más en... "elhacker".net.

eing?

¿Cuántos delincuentes más hay en elhacker.net? Dinos los nicks con sus antecedentes y procedemos a expulsarlos.

Lee, lee -->
http://www.guardiacivil.org/prensa/notas/noticia.jsp?idnoticia=2724

parslet dijo...

Muy buena la entrada, se puede ir siguiendo el rastro de esta gente usadno google, yo encontre a netkairo registrado en una página de ligues (los datos personales se corresponden con los de la noticia).

@El-brujo"Lee, lee -->
http://www.guardiacivil.org/prensa/notas/noticia.jsp?idnoticia=2724

El departamento de delitos telemáticos deja mucho que desear, alguna vez he oido escuchar a altos cargos y saben lo mismo de informática que mi abuelo.
Elhacker.net tendrá muchas visitas pero prestigiosa no será desde luego por sus contenidos, y por los conocimientos de los moderadores (y la mala onda que se respira).

eN_Tu_Ku_lO dijo...

bueno bueno... alguno sabe la verdad a ciencia cierta?? aparte de mi claro.