Español | English
rss facebook linkedin Twitter

Siguiendo un Citadel con afectación a entidades españolas


En S21sec llevamos un año y medio realizando el seguimiento exhaustivo de botnets de Citadel, una de las variantes más exitosas de Zeus surgida cinco meses después del famoso leak del código fuente de Zeus v2 del 28 de marzo de 2011.

De las 771 botnets que tenemos controladas, 55 afectaron de forma explícita a entidades españolas.

De todas esas botnets nos quedamos con la única que permanece activa (el resto fueron cerradas gracias al gran trabajo realizado por nuestro SOC). Esta botnet ha sido creada usando un builder [1] del cuál hemos podido identificar binarios y configuraciones pertenecientes hasta a otras ocho botnets diferentes.


En el timeline se puede observar la evolución de ocho de las diez botnets, ya que no disponemos de ningún fichero de configuración de las otras dos por haber sido especialmente efímeras y, por tanto, no podemos conocer a qué entidades de qué países afectaban.

Como se puede observar, las ocho botnets se podrían separar en dos grupos diferentes que hemos identificado con distintos colores.

En color naranja aparece un grupo formado por cinco botnets  —que afectaron a entidades españolas— que habiendo surgido en noviembre de 2011 todavía sigue activo.

En color verde aparecen tres botnets que conformarían otro grupo que a día de hoy está inactivo y cuya primera aparición fue en diciembre de 2012 permaneciendo activo durante algo más de ocho meses. Dicha botnet tuvo como objetivo principal a la entidad Wells Fargo.

A día de hoy estas botnets han sido desactivadas completamente por Microsoft como parte de la campaña llevada a cabo conjuntamente por la unidad de ciber-crimen de Microsoft en colaboración con entidades de la industria financiera y LEAs como el FBI, y que se hizo pública el día 5 de junio de 2013.

Centrándonos en el grupo de botnets que pertenecen al primer grupo —las que aparecen en naranja— se puede observar que, salvo en la botnet 1db7..., en la que en un par de las configuraciones se añadieron entidades holandesas, el resto han afectado y afectan a las mismas entidades de los mismos países.

Es interesante destacar que —puesto que son compatibles— en general las configuraciones incluían inyecciones vistas por primera vez en enero de 2008 en versiones de Zeus v1, pero el gang ha estado muy activo a la hora de distribuir actualizaciones de configuraciones (con nuevas URLs de distribución tanto de configuraciones como de binarios, así como de recepción de información robada) con el objetivo de dificultar el cierre de la botnet.

Cabe destacar que el gang montó las primeras botnets utilizando la versión de Citadel 1.3.4.5, pero poco tiempo después actualizaron los paneles de control y las máquinas troyanizadas con la versión 1.3.5.1, que incluía mejoras orientadas a dificultar el trabajo de los analistas y el seguimiento de las botnets. Como nota curiosa, la única botnet activa del grupo se mantiene en la versión 1.3.5.1 a pesar de existir una nueva versión, la 3.1.0.0, que por lo que hemos podido ver se ha visto muy limitada en cuanto a su distribución, lo que nos lleva a pensar en un cambio en la política de actualizaciones que constituía uno de los principales atractivos de kit de Citadel.

Como se puede apreciar en el timeline, salvo la botnet f761..., el resto han dejado de estar activas, y entre los motivos están los mismos que los que acabaron con las botnets del otro grupo, la campaña que comenzó la unidad de ciber-crimen Microsoft a principios de junio de 2013 y que también consiguió hacerse poco a poco con el control de todas las máquinas utilizadas por dicha botnet. Aunque se han seguido distribuyendo configuraciones desde las máquinas durante estos últimos meses, todas son configuraciones creadas ex profeso por Microsoft con el fin de "limpiar" las máquinas infectadas. 

En el caso de la única botnet que queda activa entendemos que se debe a que tanto los dominios registrados (en su mayoría pertenecientes a TLDs tipo: .jp, .co.jp, .my, .com.my, .com.sg, etc.) como los servidores están alojados fuera del alcance de Microsoft, ya sea porque están alojados en servidores fuera del territorio de EE.UU. (p. ej. Singapur) o porque se trate de hostings bullet proof.

En resumen, se puede observar que el grupo que controla estas botnets no ha estado inactivo en ningún momento desde que montaron la primera en noviembre de 2012 y han ido montando nuevas botnets según estas iban siendo desactivadas.

Advanced Cyber Security Services
S21sec

[1] Consideramos que todas las botnets que comparten login-key han sido generadas con el mismo builder. Hasta ahora, hemos sido capaces de identificar 771 botnets creadas con hasta 111 builders diferentes.

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login