Carberp Code Leak Stokes Copycat Fears – Krebs en seguridad

El código fuente de «Carberp», un kit de creación de botnet codificado por un equipo de al menos dos docenas de piratas informáticos que lo usaron para liberar a los bancos de un estimado de $ 250 millones, se ha publicado en línea para que cualquiera lo descargue. La fuga de código ofrece a los expertos en seguridad una visión fascinante y algo rara de la economía de la codificación incorrecta, pero a muchos también les preocupa que su publicación genere nuevas cepas híbridas de malware bancario sofisticado.

Panel de administración de Carberp.  Fuente: Xylibox.blogspot.com

Panel de administración de Carberp. Fuente: Xylibox.blogspot.com

La filtración parece haber comenzado, como suele ocurrir con estas cosas, con la venta del código fuente en un foro semiprivado sobre ciberdelincuencia. El 5 de junio, un miembro de la Lampeduza Crime Forum dijo que estaba vendiendo la fuente de Carberp a un solo comprador, con un precio inicial de $ 25,000. El vendedor dijo que estaba ayudando a uno de los desarrolladores del código, que andaba corto de dinero.

A mediados de junio, los enlaces para descargar todo el archivo de Carberp se publicaron en varios foros, como lo documentó por primera vez Fideicomisario. Desde entonces, expertos de todo el mundo han estado revisando el archivo de dos gigabytes para obtener más información sobre el código y su potencial de abuso futuro en creaciones de malware nuevas y existentes.

Filtrar el código fuente no fue como filtrar un arma, sino más bien como filtrar una fábrica de tanques.,» escribió un bloguero de tecnología ucraniano en Livejournal.

De acuerdo a Pedro Kruseun especialista con sede en Copenhague grupo de seguridad csis, el paquete incluye el bootkit Carberp; este es un componente que puede subvertir el Protector de parches protección en sistemas Windows 7 x86 y 64 bits para que el malware se cargue en los niveles más básicos del sistema (Kruse dijo que el componente bootkit está incompleto y no funciona contra ventanas 8 PC).

También se incluyen componentes de un troyano conocido como UrSnifasí como un kit de creación de botnet rival extremadamente popular y frecuente llamado Ciudadela.

“Al igual que con el fuga del código fuente de ZeuSen mayo de 2011, esto significa que los delincuentes tienen todas las posibilidades de modificar e incluso agregar nuevas funciones al kit”, Kruse escribióseñalando que el archivo de Carberp también contiene varios archivos de texto que parecen ser registros de chats privados y varios nombres de usuario y contraseñas.

codificadores descarados

El año pasado, las autoridades rusas y ucranianas arrestaron a un grupo de piratas informáticos poco afiliados acusados ​​de programar y usar Carberp para robar millones de cuentas bancarias de sus compatriotas. Según un relato de la acción policial en el medio de comunicación ruso. Kommersant, Carberp fue codificado por un equipo de unas 20-25 personas menores de 30 años. La mayoría de los hombres nunca se habían conocido cara a cara. Cada uno trabajaba de forma remota y era responsable de desarrollar módulos específicos del código Carberp, componentes que luego se transmitían a un servidor de desarrollo principal en Odessa, Ucrania.

Algunos de los archivos del código fuente de Carberp filtrados.

Algunos de los archivos del código fuente de Carberp filtrados.

Miembros del foro de codificación kernelmode.info han estado estudiando detenidamente los comentarios dejados en el código por los desarrolladores de Carberp. Un conjunto de comentarios, traducidos del ruso por un lector de KrebsOnSecurity, sugiere que el desarrollador estaba frustrado por tener que programar dentro de los límites de lo que él consideraba un sistema operativo descuidado o quizás un código de complemento del navegador web.

«¡Le arrancaré las manos a alguien por este tipo de código!» el desarrollador no identificado anotó en una sección de la fuente de Carberp. «Esta cosa estúpida hace Dios sabe qué».

De otro fragmento: “[This] la función está buscando [at the] último procedimiento de devolución de llamada, no pude colocarlo dentro de la ventana de Java, la perra no funcionó «.

Sobre los programadores de Microsoft Windows: “Esos tontos e idiotas indios de Microsoft; no entienden que son extremadamente estúpidos”.

En una entrevista telefónica, Kruse de CSIS dijo que si bien los codificadores de Carberp pueden haber vendido la fuente, duda que los desarrolladores del código hayan filtrado la fuente de Carberp.

“Lo que es realmente interesante al respecto es que algunas de las cosas que se revelan (números ICQ, nombres de Skype, incluso direcciones) se correlacionan perfectamente con las investigaciones que hemos realizado anteriormente”, dijo Kruse. “Es más probable que alguien haya robado esto, porque si estuvieran cuerdos, los autores nunca lo habrían filtrado”.

¿PROGENIE CARBERP?

Como señala Kruse del CSIS, la filtración de la fuente de Carberp se remonta a la publicación del código fuente del troyano ZeuS en 2011. A finales de 2010, las autoridades del Reino Unido y Ucrania arrestaron y detuvieron a varias personas por desarrollar y beneficiarse de versiones personalizadas del troyano. Troyano ZeuS. En febrero de 2011, la fuente de ZeuS se vio a la venta en varios foros sobre delitos. Menos de tres meses después, todo el código fuente de ZeuS se filtró en línea.

La fuga del código fuente de ZeuS pronto impulsó el desarrollo de varios kits de creación de botnets rivales, incluidos hielo9 y Ciudadela. Este último introdujo varias innovaciones. Por ejemplo, los desarrolladores de Citadel proporcionaron a los clientes con licencia un foro web exclusivo para miembros donde los usuarios podían sugerir y votar nuevas funciones en las próximas versiones de malware. Los autores de Citadel también desarrollaron un sistema de tickets de problemas que los clientes que pagaban podían usar para resolver problemas de compatibilidad.

Para tener una perspectiva del impacto de Citadel, considere una acción reciente de Microsoft que lanzó un ataque furtivo legalk contra más de 1400 redes de bots distintas que fueron creados con el kit Citadel. Microsoft todavía está analizando los números, pero Ricardo Boscovichabogado principal de la unidad de delitos digitales de Microsoft, dijo que las cifras preliminares sugieren que su acción liberó al menos a 1,25 millones de PC infectadas de las garras de Citadel (tendré más información sobre el progreso de la eliminación de Citadel en una publicación futura).

Para obtener más información sobre la pandilla Carberp y la evolución de esta notable (y ahora pública) fábrica de malware, consulte esta publicación de investigadores de una empresa de seguridad y antivirus ESET.

Deja un comentario