Un juez de la Corte de Distrito de EE. UU. en Atlanta dictó la semana pasada una sentencia de prisión de cinco años a marca vartanyanun hacker ruso que ayudó a desarrollar y vender el otrora infame y generalizado Ciudadela troyano bancario Este hecho ha sido informado por innumerables medios de comunicación, pero mucho menos conocida es la fascinante historia de fondo sobre cómo atraparon a Vartanyan.
Durante varios años, Citadel gobernó la escena del malware para los delincuentes que robaban contraseñas de banca en línea y vaciaban cuentas bancarias. Los fiscales estadounidenses dicen que Citadel infectó más de 11 millones de computadoras en todo el mundo, causando pérdidas financieras de al menos quinientos millones de dólares.
Como la mayoría de los troyanos bancarios complejos, Citadel se comercializó y vendió en mercados clandestinos de ciberdelincuencia aislados. A menudo, el aspecto más lento y costoso de las ventas y el desarrollo de malware es ayudar a los clientes con cualquier problema de soporte técnico que puedan tener al usar el software delictivo.
A la luz de eso, una innovación que Citadel puso sobre la mesa fue la colaboración colectiva de parte de este trabajo de soporte, aliviando la carga de los desarrolladores de malware y liberándolos para dedicar más tiempo a mejorar sus creaciones y agregar nuevas funciones.
Los usuarios de Citadel discuten las ventajas de incluir un módulo para eliminar otros parásitos de las PC anfitrionas.
Citadel contaba con un sistema de soporte técnico en línea para clientes diseñado para permitirles presentar informes de errores, sugerir y votar nuevas funciones en las próximas versiones de malware y rastrear tickets de problemas en los que podrían trabajar los desarrolladores de malware y otros usuarios de Citadel por igual. Los clientes de Citadel también pueden usar el sistema para chatear y comparar notas con otros usuarios del malware.
Fue esta naturaleza muy interactiva de la infraestructura de apoyo de Citadel la que los agentes del FBI usarían en última instancia para localizar e identificar a Vartanyan, que se hacía llamar «Kolipto.” El apodo del vendedor principal de Citadel era «Aquabox”, y el FBI estaba ansioso por identificar a Aquabox y a los programadores que había contratado para ayudar a desarrollar Citadel.
En junio de 2012, los agentes del FBI compraron varias licencias de Citadel de Aquabox, y pronto los agentes sugirieron ajustes al malware que podrían usar para su beneficio. Haciéndose pasar por un usuario activo del malware, los agentes del FBI informaron a los desarrolladores de Citadel que habían descubierto una vulnerabilidad de seguridad en la interfaz web que los clientes de Citadel usaban para realizar un seguimiento y recopilar contraseñas de los sistemas infectados (ver captura de pantalla a continuación).
Una captura de pantalla del panel de control de la botnet Citadel basada en la web.
Aquabox mordió el anzuelo y pidió a los agentes del FBI que subieran una captura de pantalla del error que habían encontrado. Como se señaló en esta historia de septiembre de 2015, los agentes del FBI subieron la imagen al gigante de intercambio de archivos Sendspace.com y luego citó los registros de Sendspace para conocer la dirección de Internet del usuario que luego vio y descargó el archivo.
La dirección IP volvió a ser la misma que habían vinculado previamente a Aquabox. La otra dirección que accedió al archivo estaba en Ucrania y vinculada a Vartanyan. Los fiscales dijeron que poco después se vio la dirección de Vartanyan cargando en Sendspace una versión parcheada de Citadel que supuestamente arregló la vulnerabilidad identificada por los agentes que se hacían pasar por usuarios de Citadel.
Marcos Vartanyan. Fuente: Twitter.
“En el período de agosto de 2012 a enero de 2013, hubo un total de 48 archivos cargados desde Marks IP a Sendspace”, se lee en una historia del diario noruego VG que KrebsOnSecurity había traducido al inglés aquí (PDF). «Esos archivos fueron descargados por ‘Aquabox’ con 2 IP (193.105.134.50 y 149.154.155.81)».
Los investigadores se enterarían de que Vartanyan era un ciudadano ruso que había crecido en Ucrania. En el momento de su arresto, Mark vivía en Noruega, que luego lo extraditó a los Estados Unidos para su enjuiciamiento. En marzo de 2017, Vartanyan se declaró culpable de un cargo de fraude informático y fue sentenciado el 19 de julio a cinco años en una prisión federal.
Otro desarrollador de Citadel, Dimitry Belorossov (también conocido como «Rainerfox»)fue arrestado y sentenciado en 2015 a cuatro años y seis meses de prisión tras declararse culpable de distribuir Citadel.
Al principio de su apogeo, se agregaron algunas cadenas de texto al troyano Citadel que nombraba a Yours Truly como el verdadero autor de Citadel (vea la captura de pantalla a continuación). Si bien obviamente no participé en la escritura del troyano, tener Escribió mucho sobre sus víctimas principales, principalmente docenas de pequeñas empresas aquí en los Estados Unidos que vieron sus cuentas bancarias vaciadas de cientos de miles o millones de dólares después de una infección de Citadel.
Una cadena de texto dentro del troyano Citadel. Fuente: AhnLab
Relacionado:
Arrestos vinculados a Citadel, Dridex Malware – Krebs on Security
11 bibliotecas y módulos de Python que todo desarrollador debe conocer
