LiveJournal bajo ataque

No tengo una cuenta de LiveJournal, pero a veces doy una leída rápida a sus blogs en mis horas de descanso. Pero el 4 de abril, un anuncio oficial de LiveJournal Russia dijo que el servicio había sido víctima de un ataque DDoS y no estaba funcionando.

Este ataque DDoS masivo es el segundo que toma como blanco a LiveJournal en los últimos días. Los medios masivos online de Rusia están repletos de rumores y especulaciones sobre las razones y propósitos del ataque.

No sabemos con exactitud cuántas redes zombi participaron en el último ataque, pero sabemos con seguridad que hubo una que estuvo involucrada. Está basada en el bot DDoS Optima/Darkness que en la actualidad es muy popular en el mercado negro cibercriminal de habla rusa. No sólo los programas troyanos (bots) están a la venta, también redes de ordenadores infectados que han sido construidas con la ayuda de estos programas y hasta servicios para realizar ataques DDoS a cualquier recurso de Internet.

Hemos estado vigilando una de estas redes zombi Optima por bastante tiempo.

Análisis de los datos que recopilamos nos muestran que el primer ataque DDoS a LiveJournal ocurrió el 24 de marzo. El dueño de la red zombi dio la orden de lanzar una taque a la dirección del blog del renombrado personaje anti-corrupción Alexey Navalny: http://navalny.livejournal.com. El 26 de marzo, los bots recibieron órdenes para atacar otro recurso de Navalny: http://rospil.info, y el primero de abril atacaron http://www.rutoplivo.ru, otro sitio que toca temas políticos.

Abajo hay una lista de los enlaces que se enviaron a los bots para que les lancen ataques DDoS desde el 24 de marzo hasta el 1 de abril:

Vale la pena recalcar que LiveJournal hizo el primer anuncio sobre un ataque DDoS el 30 de marzo. El mismo día, Kaspersky Lab registró que la red zombi Optima sólo estaba atacando navalny.livejournal.com. Pero el 4 de abril, los bots recibieron una lista completa que incluía enlaces a los blogs de muchos usuarios populares del servicio LiveJournal:

http://www.livejournal.com
http://www.livejournal.ru
http://sergeydolya.livejournal.com
http://shpilenok.livejournal.com
http://tema.livejournal.com
http://radulova.livejournal.com
http://marta_ketro.livejournal.com
http://pesen_net.livejournal.com
http://doctor_livsy.livejournal.com
http://pushnoy_ru.livejournal.com
http://navalny.livejournal.com
http://dolboeb.livejournal.com
http://olegtinkov.livejournal.com
http://mi3ch.livejournal.com
http://belonika.livejournal.com
http://mzadornov.livejournal.com
http://tebe_interesno.livejournal.com
http://tanyant.livejournal.com
http://eprst2000.livejournal.com
http://drugoi.livejournal.com
http://stillavinsergei.livejournal.com
http://kitya.livejournal.com
http://vero4ka.livejournal.com
http://zhgun.livejournal.com
http://zyalt.livejournal.com
http://fritzmorgen.livejournal.com
http://miss-tramell.livejournal.com
http://sadalskij.livejournal.com
http://becky-sharpe.livejournal.com
http://roizman.livejournal.com
http://alex-aka-jj.livejournal.com
http://alphamakaka.livejournal.com
http://borisakunin.livejournal.com
http://kungurov.livejournal.com
http://plucer.livejournal.com
http://twower.livejournal.com

Esta nueva lista afecta a algunos de los bloggers más populares de LiveJournal, que escriben sobre una gran variedad de temas. No se sabe si este fue un intento para “camuflar” al verdadero blanco del ataque, que se puede haber designado durante los primeros ataques DDoS, o si la lista de blogs “enemigos” simplemente ha crecido.

Un sitio, kredo-m.ru, se destaca del resto de la lista. Pertenece a una empresa que fabrica muebles y productos de madera. Sospechamos que los dueños de la red zombi están vendiendo los ataques a cualquier postor, y este ataque en particular puede haber sido solicitado por competidores de la empresa. Este tipo de ataques B2B (empresa a empresa) se ve a menudo.

¿Y qué se puede decir del bot Optima? Bueno, apareció por primera vez a finales de 2010 en el mercado negro cibercriminal ruso y pronto se hizo popular. Además de los ataques DDoS, el bot tiene la capacidad de descargar otros archivos ejecutables y robar contraseñas a varios programas populares (clientes FTP, Mensajería instantánea, clientes de correo electrónico, navegadores, etc.).

No tenemos información definitiva sobre el tamaño de la red zombi, pero hay piezas indirectas de información que nos ayudan a calcularlo. Durante los ataques DDoS de arriba, los bots de Optima también recibieron comandos para descargar nuevas versiones de Trojan-Downloader.Win32.CodecPac (pronto podrán leer más sobre este troyano en un artículo de análisis que vamos a publicar). El hecho de que CodecPack se distribuya mediante esta red zombi da a entender que esta red zombi Optima es grande, porque los dueños del CodecPack sólo “colaboran” a las redes zombi más grandes del mercado. Por participar en su programa, los dueños de CodecPack solicitan que las redes zombi mantengan al menos decenas de miles de ordenadores infectados antes de realizar negocios con sus dueños.

Nos sorprende que LiveJournal todavía no haya pedido ayuda a las autoridades. “No nos hemos comunicado con las autoridades rusas para iniciar un procedimiento legal, pero no excluimos la posibilidad de hacer una demanda”, dijo Svetlana Ivannikova, jefe de LiveJournal Rusia. Además, los medios masivos online opinan que un caso así no podría ganarse. Desde nuestro punto de vista, hay evidencia directa de un crimen según el Artículo 273 del Código Criminal de la Federación Rusa: “Creación, Uso y Propagación de Virus Informáticos Dañinos”. Después de todo, las autoridades y cortes rusas ya tienen experiencia juzgando este tipo de casos.