8 de febrero de 2016

A los dos meses de la operación importante de los cuerpos de seguridad rusos para prevenir la actividad del grupo criminal que difundía el troyano Trojan.Dyre que se hizo famoso en el año 2015, los medios de comunicación otra vez mencionaron el mismo. Esta vez se trata casi de vencer este programa nocivo que dañaba las entidades financieras de todo el mundo a partir del verano de 2014. Pero los mismos cuerpos de seguridad no tienen prisa para informar de los éxitos de afrontar otra “creación” del mundo de cibredelincuencias.

Los expertos de la empresa Doctor Web durante todo el periodo de existencia del programa troyano Trojan.Dyre supervisaban su difusión con mucha atención e investigaban la infraestructura creada por los malintencionados. Antes que nada, cabe destacar que en este caso observamos un ejemplo «clásico» de realización del modelo CaaS — crime-as-a-service (crimen como servicio). «Los usuarios del sistema» recibían un builder para generar los samples del troyano que permitía cambiar la firma del mismo con mucha frecuencia, por lo tanto, el troyano resultó ser invulnerable para los programas antivirus. Así mismo, todos los datos recabados por el troyano en los equipos infectados, se enviaban a los servidores de los titulares de Trojan.Dyre. En el mismo, se procesaban y se introducían en el panel administrativo disponible para los «usuarios» que compraron acceso al mismo El panel estaba dividido en varias partes funcionales,— administración de bots, búsqueda por registros. Además, había varios grupos de paneles. Todos los datos entrantes se analizaban por los filtros para recibir la información de interés para los malintencionados (nombres de usuario-contraseñas etc).

De interés es la misma infraestructura de Trojan.Dyre, según la opinión de los analistas de Doctor Web, más sofisticada que la infraestructura de muchos otros troyanos bancarios conocidos. Normalmente los datos de equipos infectados se envían por los troyanos al servidor donde está implementado el panel usando el cual los malintencionados administran sus bots. En caso de Trojan.Dyre se usaba un conjunto entero de varias tecnologías confirmando que el grupo criminal que desarrolló e implementó este proyecto dispone de muchos recursos financieros y humanos. Así, por ejemplo, para la recepción y el procesamiento de datos de bots se usaban los servidores «de fabricación casera» en.Net, y los paneles de administración de la botnet fueron creados usando php-framework Kohana. Para almacenar y procesar los conjuntos de datos que llegaban casi de todo el mundo se usaban las bases postgres y mysql, así como el sistema de búsqueda de texto completo. Todos los datos de entrada llegaban a los filtros especiales que servían para destacar la información de interés para los delincuentes (nombres de usuario, contraseñas, números de cuentas bancarias, datos personales de usuarios etc). Para la protección de los servidores contra la detección, se usaban los servidores Tor, así como los servidores proxy unidos en una red usando openvpn. Una peculiaridad del ataque usando el troyano Trojan.Dyre fue la ubicación de las «placas» proxy en los routers donde la tabla de enrutamiento fue modificada de forma correspondiente. Los routers se hackeaban averiguando las contraseñas de forma rutinaria, tomando en cuenta que muchos usuarios no cambian la configuración del fabricante de protección de routers, y algunos nunca la consideran un punto de penetración posible en la red interna.

Pero aun así, los analistas de Doctor Web pudieron detectar un conjunto de servidores finales usados por los malintencionados. Se revelaron los elementos de la infraestructura de Trojan.Dyre, se realizó sinkhole de algunos servidores. Eso permitió obtener la información importante que los expertos de la empresa proporcionaban a algunos bancos europeos, así como a los cuerpos de seguridad de algunos países.

A pesar de la información publicada en los medios de comunicación, los expertos de Doctor Web consideran que aún es muy pronto olvidarse de Trojan.Dyre. Los analistas de la empresa siguen registrando los envíos de spam con samples del troyano y por lo tanto se puede considerar que no todos los servidores de la infraestructura dejaron de funcionar. Lo más probable es que esta historia «continuará».