Moviendo ciertos hilos, hemos conseguido unos minutos de atención del director técnico de Panda Security que nos ha contestado en primera persona a una mini-entrevista sobre el tema.
La gente que estamos 'en esto' conocemos a Luis desde hace bastante tiempo, pero no estaría de mas que te presentaras un poco para el publico, quien eres, cual es tu labor en Panda Security, etc
Tengo la tentación de poner el link de mi bio que tengo en el blog de PandaLabs ;) Llevo ya 11 años (me hago viejo!!!!) trabajando en Panda. De hecho, con el tiempo estoy comenzando a tener forma de oso, sobre todo en la parte de la panza XD
Soy el Director Técnico de PandaLabs, donde he estado la mayoría de años que llevo aquí. Además de jugar con los bichos y escribir para nuestro blog (
http://pandalabs.pandasecurity.com), coordino el contacto del laboratorio con otras entidades, como fuerzas de seguridad, otros laboratorios de seguridad, etc. Represento al laboratorio en diferentes asociaciones a las que pertenemos, como AMTSO (
www.amtso.org) o el APWG (
www.antiphishing.org). Cuando tengo tiempo y me dejan, doy charlas y también voy a escucharlas. Casualmente, las más interesantes suelen ser en destinos bastante exóticos, como Japón, Seúl, Islandia, Bali… Un trabajo muy sacrificado, como podéis ver ;)
¡¡ Menudo revuelo habéis montado hoy !! Prensa, TV, Radio ... ¿Ha sido para tanto? (La Guardia Civil siempre ha sido pelin exagerada cuando tiene delante una cámara ...)
La verdad es que sí que hemos montado una buena, pero esta vez sin exagerar. Como diría un señor que suele salir por la tele en nochebuena, “Me llena de orgullo y satisfacción…” XD
Bueno, en serio, realmente nunca habíamos visto una botnet tan grande, y el haber podido desmantelarla y dar con los responsables ha sido un éxito del que nos podemos enorgullecer todos. Ha sido una labor de investigación de muchos meses, durante la cual nos hemos coordinado con diferentes organizaciones para lograr llevar a los delincuentes ante la justicia.
Si quieres que me meta en más datos dime, pero no quiero aburrir a tus lectores, y si les apetece saber todos los detalles que me visiten en el blog de PandaLabs ;)
Hemos leído que en la investigación habéis colaborado con Inteligencia de EEUU y de Georgia ¿Es cierto que los agentes del FBI van vestidos como el Agente Smith de Matrix y los de Georgia van armados con botellas de vodka ?
Al contrario de lo que se pueda pensar, en EEUU sí que hay Inteligencia, y ha funcionado muy bien. Además, al contrario que el agente Smith, estos no se replicaban. Los de Georgia eran del estado de Georgia en EEUU, por lo que suelen preferir el bourbon al vodka.
Coñas aparte, realmente ha tenido que ser muy emocionante estar metido en algo de esa envergadura, ¿Cuantas horas x día has dedicado en los últimos meses?
Bueno, yo estoy dando la cara pero en Panda hemos estado trabajando en esto unas cuantas personas durante todos estos meses, de hecho todavía seguimos investigando y sacando nueva información, por lo que el total de horas mejor no las comentamos aquí, que luego mi jefe dirá que nos dedicamos a “mariposear” ;)
Por último, puedes darnos datos técnicos (cuantos mas mejor) sobre el funcionamiento de la botnet, el tipo de troyanos que empleaban, etc ...
Como me ponga a describir todo nos puede dar para un libro. El bot utilizado lo adquirieron en el mercado negro. Al contrario de lo que la gente pueda pensar, este tipo de herramientas no son muy caras, y con unos cientos de euros te puedes agenciar una que te haga el trabajo. Teniendo acceso al kit de construcción de este troyano, puedes además elegir el sabor que más te guste entre un amplio abanico de opciones:
- Seleccionar si las réplicas de sí mismo que realiza son polimórficas o no.
- Puertos de conexión al servidor.
- Retardo hasta la inyección en el proceso EXPLORER.EXE para dificultar el análisis del malware.
- Número de envíos por MSN Messenger.
- Nombre del archivo con el que se copia en las unidades extraíbles.
- Configuración del autoarranque de dichas unidades extraíbles.
Además se puede adquirir con diferentes módulos extras (a cambio de un poco más de dinero). Por ejemplo, uno de estos módulos permite robar toda la información de formularios que el usuario introduce en Internet Explorer (6, 7 y 8). Otro módulo estaba dedicado al resto de navegadores más populares (Firefox, Chrome, Opera). Y una vez tienes montada la red de bots, sólo tienes que empezar a dar órdenes, algo muy sencillo a través del interfaz que incluye:
Estas son algunas de las órdenes que se pueden dar, atentos al nombre de algunos de los comandos, bastante descriptivos ;)
Muchísimas gracias Luis, ha sido genial poder compartir todo esto contigo.
