sábado, 31 de mayo de 2014

Una historia de hackers [Parte IV]

Esta es la última parte de un relato que inicié hace ya mucho tiempo. Hay muchos detalles que por mi mala memoria ya no recuerdo con exactitud. Sin embargo trataré de relatarlo lo más fielmente posible.

Puedes leer los posts anteriores en estos links:

Una historia de hackers [Parte IV]

Yo llegando nuevamente tarde al trabajo. La noche anterior me había quedado hasta altas horas de la madrugada jugando con la botnet del hacker.

Luego de saludar a todos mis compañeros como de costumbre, les conté lo que había aprendido sobre la botnet y como controlar los bots mediante mensajes privados en el IRC. El tema les interesó, no todos los días encuentras una botnet IRC por ahí. Empezamos a conversar sobre qué hacer con la botnet ahora que podíamos controlarla.

Desmantelarla era una primera opción. Podíamos ordenarles a todos los bots que maten el proceso "perl" y se desconecten del IRC. Pero ya habíamos llegado hasta acá. Estabamos pisandole los talones al hacker ¿Realmente dejaríamos pasar esta oportunidad? Ya no se trataba de trabajo. Estabamos jugando al gato y al ratón.

Desde ayer, el problema de la botnet ya no nos afectaba. Nuestro servidor ya no pertenecía a la botnet, el UTM no detectó más ataques, el problema de lentitud en la red continuaba (pero era por otras razones xD).  Si seguiamos pendientes de la botnet era porque buscábamos una revancha. Él se había metido con nosotros y debía arrepentirse por ello.

El espíritu del trolling nos invadía...

Decidimos conectarnos al IRC haciéndonos pasar por un bot más y hacerle guardia al hacker. Con un poco de suerte, cuando el hacker se conecte, podríamos obtener su IP haciéndole un "whois" a su nick. Así que inicié mi cliente IRC y conecté a la botnet con el nick "Seyko230". El bot estaba programado de tal forma que las victimas conectaban como "Seyko" y al final concatenaban un número aleatorio. Así que con ese nick no levantaríamos ninguna sospecha.

Ciprian estaba conectado. Ese era su nick, el "master" de botnet debía usar ese nick para controlarla. Los bots no obedecerían a nadie más solo a quien poseyera ese nick. Era él, el hacker.

Observamos lo que hacía, conversaba con otro usuario "Tyroll".

Fig. 1 - Chat entre Ciprian y Tyroll

Ahora sabíamos que no era un lobo solitario, tenía un amigo. Pero lo que más nos llamó la atención fue el idioma en el que estaban conversando. Definitivamente no era portugués como en el bot ¿Qué idioma sería? Hicimos nuestras apuestas. Yo vi un "da" y dije ruso. Un compañero dijo que parecía "alemán" o algo así. En realidad no teníamos ni idea.

Lo único que entendí de su conversación fue "bnc". Esa palabra es un nombre corto para "bouncer". Los bouncers son programas que facilitan el anonimato en canales IRC. Actúan como proxys entre el cliente IRC y el servidor IRC. Esto no era bueno para nosotros. El hacker y su amigo debían estar usando bouncers para conectar al IRC y así esconder su verdadera IP. Si hacía un whois a sus nicks no obtendría más que la IP de sus bouncers. No cabía duda, el tipo era cuidadoso.

Volvimos a nuestros deberes. Yo dejé la ventana del IRC abierta y de rato en rato observaba si pasaba algo nuevo. Mientras tanto avanzaba con el poco trabajo que tenía.

Lo siguiente que llamó mi atención fue que el hacker parecía "organizar" su botnet. Estaba enviando ordenes a los bots uno por uno, pero no lo hacía por mensaje privado sino desde la sala principal del canal así que yo también podía ver las ordenes. Primero le ordenaba al bot que conectara con cierta IP y luego de una obscura comunicación, le ordenaba cambiar de nick por otro que lo identifique mejor. Esto me resultó curioso ¿Porqué perder el tiempo revisando máquina por máquina? ¿Qué gana con eso? Para lanzar un DDoS me parece totalmente irrelevante. Lo más probable es que lo haga para escoger ciertas máquinas que le puedan servir para otras cosas como montar un IRC, proxys, bouncers, servidores web, y en fin toda la "logistica" que requiere el oficio. Aunque también puede que lo haga por razones más lucrativas. Se me ocurre que si ha caído en la botnet un servidor de una pequeña o mediana empresa podría secuestrar su información y pedir un rescate por ella o quizá armar "paquetes" de servidores comprometidos y venderlos en el mercado negro. Vamos que en esta industria uno solo no lo hace todo...

Dejé al hacker tomando lista a sus bots. Seguramente estaría entretenido un buen rato.

Por otra parte, ya tenía una pista más: la IP a la que el hacker ordenaba conectar. Era de suponerse que esa conexión establecía una shell reversa en esa IP para así poder obtener información del bot. La IP pertenecía al rango de direcciones de Venezuela.

Después de un rato volví a revisar la ventana del chat. Para mi sorpresa, me había pasado lista y no había respondido. Entonces me ordenó cambiarme de nick a "NoCon-0002". No sabía hace cuanto tiempo me habría mandado esa orden pero inmediatamente ejecuté el comando: "/nick NoCon-0002" y crucé los dedos para que no sospechara nada.

Fig. 2 - Cambio de nick a NoCon-0002.

No pasó nada. Ciprian continuó pasando lista y organizando su botnet. Por ahora había salvado el pellejo. Debía ser más cuidadoso.

Horas más tarde, el canal de IRC se volvió más activo. Ya no estaban pasando lista sino que ahora nuevos bots empezaron a conectarse. La botnet crecía. Seguramente habrían disparado algunos de sus exploits masivos y las víctimas empezaron a caer como moscas. En poco tiempo el número de bots se duplicó ¿Estarían preparándose para lanzar otro DDoS?

Fig. 3 - ¡La botnet crece!

Entre tanto alboroto, Ciprian cometió un descuido. Tarde o temprano debía suceder. Nadie es perfecto. Al parecer estaba haciendo algunos cambios, se conectaba y desconectaba varias veces quizá para sederle por un momento el control a Tyroll quizá por otros motivos. Entonces, en un exceso de confianza, olvidó utilizar su bouncer y conectó directamente al canal. Eso fue todo. Ejecuté un "/whois Ciprian" y obtuve su verdadera dirección IP. La IP estaba geolocalizada en Bucharest, Romania. Eso explicaba el idioma extraño: era rumano. Pero eso no era todo, la IP pertenecía a "Ciprian Nica" ¿Demasiada coincidencia?

Fig. 4 - Ciprian Nica

Pero eso también fué todo para mí. Ciprian habría notado que le hice un whois y eso me puso en la mira inmediatamente. Lo imagino en ese momento, con lo paranoico que había demostrado ser, tirando comandos por el IRC para identificarme. Seguramente habría enviado una consulta de versión por CTCP. Resulta que los bots responden a estas consultas con la cadena "0.2a" pero yo no había configurado mi cliente para que responda lo mismo. Eso terminaría delatandome.

Minutos más tarde, me banearon del chat.

Reconecté pero solo para dejarle una URL con su perfil de facebook y un mensaje:

Hi Ciprian
I'm Smith
I'm watching you ;)

Me volvieron a botar sin responder absolutamente nada. Sin embargo pude observar como lanzaba ordenes como loco a los demás bots quizá buscando otros "sapos", quizá cambiándoles la configuración para protegerse... no lo sé. Pero sé que le metí un susto o por lo menos eso parecía...

Ahora el canal está decierto. Ya no hay bots, quizá los puso en modo oculto, quizá se mando mudar a otro servidor...

Empecé a escribir esta última parte de la historia escuchando Botten Anna de Basshunter. De hecho me acuerdo de la historia cada vez que la escucho, así que se las dejo aquí...

"Jag känner en bot... (Conozco un bot...) " xD



Nota: Este post no pretende acusar a nadie. El nombre Ciprian Nica pertenece al dueño de una empresa que provee servicios de Internet en Bucharest. Dudo que él sea nuestro "hacker". No encajaría con su perfil de paranoico. En mi opinión el hacker asumió ese nick (Ciprian) como un último distractor.

-- FIN --

Un saludo.

4 comentarios:

  1. jajaja buena bro tu si haaaa

    ResponderEliminar
  2. que buen final xD,,,,te estoy vigilando LOL :D

    ResponderEliminar
  3. gran historia me puse a leer un poco y llegue acá, el final fue épico jajaja

    ResponderEliminar