Engáñame una vez… – Krebs sobre la seguridad

Cuando usted está al acecho en el crimen informático clandestino, vale la pena cuidarse la espalda y mantener su medidor de BS en ‘máximo’. Pero cuando ha obtenido acceso a una sección de élite del mercado negro de un foro criminal muy bien guardado al que muy pocos tienen acceso, es fácil bajar la guardia. Eso es lo que hice a principios de este año, y me llevó a buscar una historia falsa. Esta publicación de blog tiene como objetivo dejar las cosas claras en ese frente y ofrecer una historia de advertencia (y posiblemente entretenida) a otros posibles ciberdetectives.

carnadaEl 16 de enero de 2013, publiqué una publicación titulada «Nuevo exploit de Java obtiene $ 5,000 por comprador». Los detalles de esa historia provienen de un hilo de ventas publicado en un subforo exclusivo de Darkode.com, una comunidad clandestina secreta que durante mucho tiempo ha servido como un bazar para todo tipo de productos cibercriminales, incluidos kits de explotación, servicios de spam, programas de ransomware y botnets sigilosos. He mantenido una presencia en este foro de vez en cuando (principalmente) durante los últimos tres años, en gran parte porque Darkode ha sido un lugar confiable para encontrar información sobre día ceroo amenazas muy valiosas que explotan vulnerabilidades previamente desconocidas en el software, amenazas que los atacantes comparten o utilizan antes de que el desarrollador del software de destino conozca la vulnerabilidad.

Previamente había revelado varias otras historias sobre vulnerabilidades de día cero a la venta en Darkode que luego aparecieron «en estado salvaje» y fueron confirmadas por los proveedores afectados, y este hilo de ventas fue publicado por uno de los miembros más confiables del foro. El hilo de ventas también se creó durante un tiempo en el que el creador de Java Corporación Oracle. estaba luchando con múltiples días cero en Java.

Lo que no sabía en ese momento era que este hilo de ventas en particular era poco más que una trampa cuidadosamente tendida por los administradores de Darkode para descubrir qué cuentas estaba usando para acechar en su foro. Irónicamente, recientemente me enteré de esta trampa después de que los piratas informáticos de sombrero blanco/gris comprometieran prácticamente todas las cuentas de administrador y los mensajes privados en Darkode.

“Parece que Krebs se tragó el anzuelo, y tengo una idea de cómo atraparlo ahora para el siguiente hilo”, escribió el administrador de Darkode “Mafi” en un mensaje privado del 16 de enero a un coadministrador que usa el apodo “sp3cial1st”.

Después de esta publicación, los administradores compararon notas sobre qué usuarios habían visto el hilo falso de ventas de día cero de Java durante el breve período de dos días que estuvo activo en una parte restringida de Darkode. «He realizado un examen cuidadoso de los registros relacionados con el subproceso java 0day», escribió sp3cial1st a un administrador de Darkode que usaba el nick «187».

Una nota al margen probablemente esté en orden aquí. Este usuario de 187 aparentemente estaba bastante paranoico; cambió los apodos en el foro como tantos pares de ropa interior. En esta captura de pantalla de un mensaje privado entre 187 y sp3cial1st, podemos ver a 187 pidiendo que se cambie el nombre de su foro de su nick anterior, «lágrima», a 187. Esto es interesante porque «lágrima» era el apodo que usaba el miembro de Darkode. que se jactó ante otros administradores de que su amigo lanzó un ataque de denegación de servicio distribuido en mi sitio el 10 de julio de 2012, después de escribir sobre un exploit de día cero en Plesk que descubrí a la venta en Darkode. Por cierto, 187 parece ser un ciudadano canadiense al que le gusta usar el alias “Ryan Russels”; según él mismo admitió, 187 es un hombre de 36 años que actualmente vive con su esposa en Dubai y es buscado en Canadá por cargos criminales no especificados.

administrador de código oscuro "Mafí" explica su sistema de marcas de agua.

El administrador de Darkode “Mafi” explica su sistema de marcas de agua.

En cualquier caso, los mensajes del foro privado filtrados indican que la administración de Darkode tuvo la idea falsa de Java 0day después de determinar que su ingenioso esquema de marca de agua había sido expuesto. El administrador del foro, Mafi, ideó un sistema para etiquetar en secreto cada página web en el foro con marcadores únicos que podrían ayudar a identificar y luego prohibir las cuentas del foro que estaban siendo utilizadas por los investigadores de seguridad para tomar capturas de pantalla.

El sistema de marcas de agua de Mafi puede extraer la ID de usuario utilizada para tomar cualquier captura de pantalla siempre que esa imagen incluya la información debajo de la barra lateral «Autor» en el borde izquierdo de la página del foro: Como se explica en la captura de pantalla a la izquierda, el sistema de marcas de agua calcula dos cualidades presentes en esa área: el campo “rep” o reputación, y el número de publicaciones del usuario.

Debatí si publicar esta publicación que detalla cómo me engañó la campaña de desinformación/búsqueda de topos de Darkode, en parte porque me preocupaba que explicarlo todo pudiera implicar «sacar a la luz» algunas de mis fuentes y métodos. Pero creo que uno solo crece al admitir sus errores, por lo que a Oracle y a cualquier lector que pueda haber molestado o engañado por mi historia anterior sobre este día cero aparentemente falso, me disculpo de todo corazón.

Por cierto, estas capturas de pantalla no son la historia completa. A principios de esta semana, un blogger de seguridad que incluí durante mucho tiempo en mi lista de blogs, Xylitol, filtró un enorme archivo de capturas de pantalla lo ha tomado de sus propios acechos en Darkode. Esos, combinados con la docena de capturas de pantalla de la cuenta de administrador en esta publicación, ofrecen horas de diversión para cualquier investigador interesado en perfilar a los miembros más activos de este foro.

Por ejemplo, al observar la firma personal utilizada por uno de los administradores de Darkode, un usuario con el nombre de pantalla «Parabola», podemos ver que este usuario posee varios negocios turbios, incluido un servicio que ayuda a los usuarios a mover dinero entre monedas virtuales como WebMoney y reserva de libertad. Mirando más de cerca ese servicio, uno puede descubrir que el mismo servidor también alberga servicios de spam y registro de teclas. Según su publicación introductoria a Darkode cuando se unió en 2009, Parabola trabajaba(n) en TI en una empresa de software con sede en Texas.

Una inspección más cercana de la captura de pantalla de la introducción de Parabola muestra que fue invitado a Darkode por un usuario llamado iserdo, el antiguo propietario del foro. Esta última identidad pertenecía a un hacker arrestado en 2010 bajo sospecha de crear, vender y mantener el Botnet “Mariposa” o “Butterfly”, una máquina criminal que infectó a millones de PC. Otros miembros activos de Darkode que han sido arrestados por las autoridades por actividad de botnet incluyen BX1, un ciudadano argelino de 24 años que fue arrestado recientemente en Bangkok por presuntamente ganar millones de dólares al operar botnets impulsados ​​por el troyano ZeuS. Curiosamente, el mismo BX1 advirtió a otros miembros de Darkode en noviembre de 2012 que el FBI lo estaba investigando. Una parte de la reacción de la comunidad Darkode a su arresto se puede leer aquí y aquí.

Deja un comentario