Ayer Sebastián les explicaba en que consistía el ataque de denegación de servicio a la SGAE (Sociedad General de Autores y Editores). Hoy les contamos que los atacantes sumaron a la lista de víctimas al MCU (Ministerio de Cultura Español) y a PROMUSICAE (Productores de Música de España). Este ataque coordinado, denominado Operation Payback (Operación venganza) es, según aquellos que lo orquestaron, una venganza contra entidades que buscan cerrar sitios como ThePirateBay, un popular buscador de torrents del underground (y últimamente no tanto).
Luego de analizar el software utilizado para realizar este ataque notamos una serie de particularidades. Una de ellas es el hecho de que se debe especificar un servidor IRC dentro de la aplicación maliciosa de tal manera que la lista de víctimas a atacar y cuándo atacarlas lo deciden aquellos que administran dicho servidor IRC.
Otra cosa que llamó nuestra atención es que una vez que el usuario detiene el ataque desde la aplicación, pero no cierra la misma, el ataque se reanuda "por si solo" en unos pocos minutos. Esto denota que los coordinadores de este ataque no sólo definen quienes son las víctimas y de cuándo realizar el ataque, sino también que "ordenan" de forma remota a la aplicación maliciosa para continuar el ataque, indistintamente de lo que el usuario decida.
Este accionar se asemeja de forma notable al de una botnet, solo que en este caso los zombies que la conforman son voluntarios y el control de los administradores del servidor IRC se limita solo a la aplicación y no al equipo del usuario. De todas formas, no se debe subestimar dicho poder, ya que no sólo se otorga la capacidad de procesamiento de un equipo, sino también la dirección IP del mismo y cualquier otra información que esta aplicación maliciosa recopile.
Los ataques de denegación de servicio distribuidos no son una novedad en el mundo de las actividades maliciosas, donde se estila utilizar grandes botnets para lanzar estos ataques. Lo que sobresale de este caso en particular es que sus coordinadores se valieron de la voluntad de los usuarios por apoyar su cruzada contra un grupo de sitios, ahorrándose así el trabajo de crear una red de equipo infectados por malware que realice la denegación de servicio. Sin duda este tipo de tendencia irá creciendo con el transcurso del tiempo, no sólo por su sencillez de ejecución, sino también porque habilita a cualquier grupo que posea una misma ideología a volcarse de forma maliciosa y probablemente ilegal contra cualquier objetivo que este decida.
Joaquín Rodríguez Varela
Sales Engineer
