Criminalidad 4.0 - Botnet

Bot es una forma corta de la palabra “robot”, este termino en particular se utiliza frecuentemente en referencia a programas computacionales que están diseñados con el fin de automatizar una tarea repetitiva.

Los bots pueden ser de gran utilidad por ejemplo, dar respuesta inmediata a los clientes de un negocio(chatbot), enviar notificaciones, alertas, realizar transacciones en mercados, etc. Sin embargo, también pueden ser utilizados de manera malintencionada.

Plataformas de redes sociales intentan reducir el impacto de estos bots maliciosos. En el caso de Twitter removiendo alrededor de 1 millón de cuentas por día, es muy probable que en algún punto hemos interactuado o visto uno de estos bots en redes sociales y que surja la interrogante ¿por qué existen los bots en redes sociales?

Existen diversos factores que motivan el uso de bots en redes sociales pero el principal es el dinero. Los bots se pueden utilizar para diversas acciones por ejemplo, farming de clicks/likes, hijacking de hashtags, repost de contenido.

Como podemos ver existen múltiples opciones para comprar interacciones con cuentas bot, en diferentes redes sociales. Ya sea para generar vistas en contenido, obtener más followers, comentarios y likes.

Estas operaciones son bastante lucrativas, un ejemplo es la compañía Social Media Series Limited que operaba sitios como SocialEnvy.co, IGFamous.net y Likesocial.co. Fueron demandados por Facebook debido a la violación de términos de uso, y los documentos detallan que en un periodo aproximado de 9 meses la compañía genero $9,430,000 millones de dólares producto de la venta de likes, seguidores, y comentarios.

En el ejemplo de abajo, podemos ver varias cuentas de bots haciendo tuits y que la estructura de los tuits es muy similar con pequeñas variaciones. En este caso los tuits son todos del mismo tema, dejando links de referencia a esta situación.

Los bots de este ejemplo comparten características similares en cuanto la composición de nombre de usuario, la sintaxis de los tuits: primero el texto ” **** Panama viral video | **** video | ” seguido de un hashtag, emojis de dedos apuntando hacia abajo, y diversos links maliciosos.

Esto nos da a entender que existe un nivel de coordinación entre estas cuentas, para lograr esto usualmente se usan centros de comando y control (C&C/C2). Esta técnica se utiliza para enviar comandos a miles de computadoras infectadas para llevar acabo diferentes acciones. Estas redes de computadoras zombificadas que ejecutan tareas al recibir instrucciones del C2 se le conoce como ”Botnet“.

Las botnet no solo se utilizan en el contexto de redes sociales, existen múltiples usos de comandar grandes cantidades de bots. Se pueden utilizar por ejemplo, para fraude de publicidad digital, dirigir trafico de internet para ataques de negación de servicio distribuido(DDoS), y establecer servidores proxy para vender acceso a los mismos.

El fraude de publicidad digital en particular es llamativo para los actores maliciosos, debido a que las ganancias pueden llegar a ser entre $3 a $7 millones de dólares por día. Este incentivo es poderoso, a continuación veremos un ejemplo de como se utiliza una botnet para cometer este crimen.

Methbot: Click fraud.

Cada clic en una publicidad en línea y cada visualización de un video publicitario genera ganancias para los operadores de la página web correspondiente mediante el modelo pay-per-click (PPC). Esta dinámica puede ser explotada mediante la automatización de tráfico fraudulento, utilizando una técnica conocida como ”Click fraud“.

Para realizar este tipo este fraude el autor principal Aleksandr Zhukov y su equipo necesitaron de una infraestructura extensa que contaba con 1,900 servidores alquilados de centros de datos en Dallas, Texas. Realizaron 250,000 copias falsas(spoofing) de páginas web de más de 5,000 dominios de diferentes negocios.

El trabajo principal de Zhukov y su equipo era crear un bot que simulara el comportamiento humano para eludir las medidas de seguridad anti-fraude de la industria de publicidad digital. Estas medidas incluyen el registro de la dirección IP, el agente de usuario (user-agent) es decir detalles del navegador utilizado, fecha, hora y ubicación geográfica.

Para lograr esto, el equipo de Zhukov realizó investigaciones exhaustivas y desarrolló un bot capaz de evadir dichas medidas de seguridad. Estudiaron movimientos de mouse realistas, los bots visualizaban videos publicitarios entre 60 a 90 segundos con pausas aleatorias, emplearon 852,992 direcciones IP que disfrazaron como IPs residenciales, ajustaron la zona horaria de los bots a EST (Eastern Standard Time), y aseguraron que los bots emplearan user-agents que los hicieran parecer usuarios reales.

Esta operación resultó altamente rentable para los actores maliciosos, ya que en un solo día podían falsificar hasta 16 millones de impresiones publicitarias, generando ganancias de hasta $56,000 dólares. En total Aleksandr “El Rey del Fraude” Zhukov logro obtener hasta $4.8 millones de dólares.

Estas operaciones pueden ser interrumpidas deteniendo el comando y control(C2) que tienen los operadores sobre la botnet. Un ejemplo de interrupción es el esfuerzo cooperativo que realizaron agencias policiales de Holanda, Alemania, Francia, Lithuania, Canada, Estados Unidos, Reino Unido y Ucrania para frenar las actividades del botnet Emotet.

La interrupción duro desde Enero a Abril del 2021; sin embargo, no fue duradera, ya que Emotet estaba devuelta en acción en Noviembre del mismo año. Interrumpir los C2 de los operadores resulta cada vez más difícil debido a que muchos cuentan con métodos para asegurar la continuidad operacional.

Blockchain para botnets.

Con la finalidad de lograr dicha continuidad operacional, los operadores de botnets han desarrollado varios métodos para restablecer el control sobre sus bots en caso de que el mismo se vea interrumpido.

Un método interesante es el de utilizar transacciones en la blockchain para enviar instrucciones a los bots sobre la nueva dirección IP de comando y control(C2).

La implementación de este mecanismo puede variar según los operadores de la botnet. Investigadores de Akamai Researchers detallan que actores maliciosos utilizaban la dirección “1Hf2CKoVDyPj7dNn3vgTeFMgDqVvbVNZQq”, y usaban las dos últimas transacciones realizadas en esta billetera, para restablecer su C2 en caso de interrupción.

Los bots al no recibir respuesta en un tiempo programado de su servidor de comando y control (C2) ejecutan un script, capturando los valores de estas transacciones y las convierten en una dirección IP. De esta manera, los operadores pueden utilizar la blockchain para realizar transacciones emparejadas, y designar nuevas direcciones IP desde las cuales los bots continuarían recibiendo sus comandos.

En este último caso, sería posible interrumpir la botnet con transacciones a los wallets utilizados para la obtención de direcciones IP. Esto podría realizarse simultáneamente con la interrupción del servidor de comando y control (C2). En el mejor de los casos, se podría incluso tomar el control de la botnet.

Este no siempre es el caso, ya que otros actores utilizan métodos más complejos para usar la blockchain, y mantener sus operaciones. Por ejemplo, investigadores de la empresa Nozomi Networks descubrieron que la botnet Glupteba utilizaba una función llamada OP_Return, que permite almacenar hasta 80 bytes de datos arbitrarios en la firma de las transacciones. En este caso, los datos enviados estaban encriptados y solo podían ser interpretados por los bots.

Esta botnet cuyo modelo de negocios era el robo de información de cuentas de Google, vender acceso a esas cuentas a terceros, vender información de tarjetas de crédito de esas cuentas, colocar anuncios disruptivos, minar criptomonedas, y vender acceso como proxy en los dispositivos infectados recibio una demanda civil por parte de Google.

Como resultado de la acción legal que tomo Google en contra de sus operaciones, pudieron interrumpir esta Botnet. Sin embargo similar al caso de Emotet la interrupción fue momentánea, debido a que volvieron a operar de manera rapida demostrando que los actores maliciosos han desarollado gran resiliencia, y habilidad en cuanto a continuidad operacional.

Como podemos ver los operadores de botnets desarrollan técnicas cada vez más sofisticadas para mantener sus operaciones. Sin embargo, con la colaboración de la industria y las agencias policiales, se pueden tomar medidas para interrumpir y desmantelar estas botnets para proteger a los usuarios, el primer paso es entender la amenaza.

Si esta información te ayudó a comprender mejor los peligros asociados con las botnets, por favor ayúdame a crear conciencia compartiéndolo en tus redes sociales y dando tu opinión en los comentarios. Juntos podemos contribuir a informar y prevenir la propagación de estas amenazas cibernéticas.

Referencias:

• Cobalt - What is a bot?
• Reuters - Twitter removes 1M accounts
• CISA USA - Social Bot Infographic
• USA Northern California District Court - Facebook v. Social Media Series Limited
• MITRE ATT&CK - Command and Control (TA0011)
• Botnet Bible V3
• ENISA EU - Botnet
• TrendMicro - How botnets are used by cybercriminals
• KrebsonSecurity - $3-5M in Ad Fraud Daily from ‘Methbot’
• Cloudflare - Click fraud
• SemRush - What is Pay-per-click
• Google - Invalid traffic detection and filtration methodology
• Human Security - Methbot Operation
• Department of Justice(DOJ) - Russian Cybercriminal Sentenced to 10 Years in Prison for Digital Advertising Fraud Scheme
• Europol - Emotet disruption
• Department of Justice(DOJ) - Documents and Resources related to the disruption of the Emotet Malware and Botnet
• Checkpoint - Most wanted malware returns
• ARS Technica - Bitcoin blockchain to protect botnets from takedown
• Akamai - Blockchain and Botnets
• Nozomi Networks - Tracking Glupteba through the blockchain
• Bitcoin Dev - Embedding data with OP_Return
• USA Southern District of New York Court - Google LLC v. Dmitry Starovikov(Glupteba)
• Bleeping Computer - Glupteba back in action