Ataque dirigido contra un usuario de Twitter, Facebook y demas?

Un blogger de Georgia que posee cuentas en Facebook, Twitter, Blogger, LiveJournal, YouTube y Google, fue objeto de un ataque en masa con una “denegación de servicio” que llevaron a la interrupción del servicio en Twitter y problemas en otros sitios, según un ejecutivo de Facebook el día jueves.

“Cyxymu”, (nombre de una ciudad en la República de Georgia), es el nombre que usa el Blogger que fue atacado masiva y simultáneamente en todas las cuentas de los diferentes sitios, explico Max Kelly, jefe de seguridad en Facebook, a CNET Noticias.

"…Fue un ataque simultáneo a través de una serie de mecanismos dirigidos a él, (Cyxymu), para mantener “su voz en silencio”…", dijo Kelly. "…Estamos investigando enérgicamente la fuente de los ataques, y esperamos ser capaces de encontrar a las personas involucradas y tomar medidas contra ellos, si podemos…".

LiveJournal Cyxymu cuenta en la versión caché de Google.(Crédito: LiveJournal)

Kelly se negó a especular sobre quién estuvo detrás del ataque, pero dijo: "…Ustedes tienen que preguntarse quien se beneficiaria más, así como pensar que, con lo que están haciendo demuestran el desprecio por el resto de los usuarios y la Internet…"

Twitter estuvo “interrumpido” varias horas el jueves por la mañana, y sufrió periodos de extrema lentitud y “fuera de servicio” a lo largo del día.

En cuanto a la pagina de Cyxymu en LiveJournal no era accesible, pero mostró una versión caché actualizada el jueves con un mensaje acerca de los ataques de DoS,(denial-of-service) a sus cuentas con base en sitios en los Estados Unidos. "Ahora es obvio que es un ataque contra mí y los Georgianos", decía el mensaje, en ruso.

El sitio también se disculpó por un ataque de e-mail spam en el cual figura como el remitente. No es claro si el ataque en forma de spam está relacionada con el los ataques de DoS.

En un ataque a sitios con DDoS (distribución de denegación de servicio), las computadoras que han sido infectadas y/o comprometidas ya sea por un virus u otros programas maliciosos, son instruidas por la computadora del atacante para visitar ciertas páginas web específicamente al mismo tiempo y en forma continua. El aluvión de peticiones de conexión supera la capacidad de respuesta de los sitios, por lo que es lógico que se genere un DoS.

Tales ataques coordinados requieren los esfuerzos de decenas de miles o más computadoras “infectadas / infiltradas”, esto se conoce como: botnet. Los spammers envían mensajes de correo electrónico con archivos adjuntos maliciosos o URL a millones de personas para crear botnets. Los delincuentes también pueden arrendar los botnets (ver nota), para campañas específicas por tan solo 5 a 10 centavos por robot.

Un representante Facebook rechazó una teoría de que el ataque fue provocado por una campaña de spam en la cual mensajes de correo electrónico en los que hubiese enlaces a los sitios. Es poco probable que haya suficientes destinatarios - todos haciendo clic en el URL al mismo tiempo – como para bajar el sitio, dijo. Hubo una campaña de spam que dirigió a las personas a la cuentas Cyxymu, pero eso no fue la causa del DoS, dijo.

"Las personas que están coordinando este ataque, en definitiva, los delincuentes, son determinados y utilizan una gran cantidad de recursos", dice Kelly. "Si piden a nuestra infraestructura generar cientos de páginas por segundo, estas son una gran cantidad de páginas que nuestros usuarios no pueden ver."

Facebook y Google fueron capaces de reducir al mínimo el impacto a sus sitios, incluyendo los Blogger y YouTube. Facebook, incluso pudo mantener la cuenta de Cyxymu accesible para los surfistas de la región, dijo Kelly, a pesar de que era inaccesible para la gente de otras zonas, incluidas las de San Francisco.

Este fue el primer ataque coordinado a los sitios, y todas las empresas implicadas trabajaron y están trabajando estrechamente en la investigación, dijo. "Mi equipo y los demás equipos que están trabajando juntos de todas estas empresas están haciendo un buen trabajo realmente muy rápido, y me siento orgulloso y feliz", dijo.

Twitter y LiveJournal no respondió de inmediato los e-mails y llamadas en búsqueda de comentarios.

Un representante de Google ofreció esta declaración: "Somos conscientes de que un puñado de sitios no pertenecientes a Google se vieron afectados por un ataque DoS esta mañana y estamos en contacto con algunas empresas afectadas para ayudar a investigar este ataque. Los sistemas de seguridad de Google impidieron un impacto a nuestros servicios. "

“Golden Cash", un sitio de alquiler de botnet al descubierto

Los investigadores de la empresa de seguridad “Finjan” dijeron el miércoles que han descubierto una red de alquiler de botnet por la cual los “delincuentes” cibernéticos pueden alquilar, por un pago que va desde $ 5 a $ 100, por la instalación de software malicioso en unas 1000 PCs, para fines como el robo de datos y/o el envío de spam.

El “Golden Cash”, con el slogan "Su máquina de hacer dinero" en su página principal, vende acceso a los botnets compuesto de miles de ordenadores en peligro a ciber-delincuentes.

Así es como funciona: un ciber-delincuente crea un botnet por el cual oculta un código malicioso en un sitio legítimo en la Web, que se utiliza para convertir a una PC en zombi. El código, por lo general, un iFrame que “envía”, a las computadoras personales, a un nuevo sitio Web donde serán infectadas con un Troyano de Golden dándole a este ultimo el control de la misma.

Con el fin de aumentar el número de botnets, Golden instala un “cazador” de FTP (protocolo de transferencia de archivos) en los nuevos zombis, de esta manera roba las credenciales utilizadas en las PC para ingresar a sitios Web propios, dándole el control de servidores legítimos adicionales. Aproximadamente 100.000 dominios, incluidos los dominios de empresas de todo el mundo, fueron identificados entre las credenciales FTP robadas y bajo el control de Golden, según un informe.

Los clientes pagan para poder instalar diferentes tipos de malware por medio de Golden, que a su vez son reciclados después para “trabajos” de nuevos clientes. Los precios son más altos para los ordenadores en países occidentales, según el informe.

"Esta “nueva” y avanzada plataforma de negociación marca un nuevo hito en la evolución de la delincuencia informática", dijo Finjan en una declaración.

Si bien el servidor se encuentra en Texas, el país de registro es China y el proxy del sitio que “transportan” el tráfico y el control del servidor se encuentra en Krasnodar, Rusia.

Que es Twitter?

Revisando unos sitios me crucé con este video en e-abaco, el sitio de @elteto, que explica muy claramente y con subtítulos en español que es Twitter y como nació, y que mejor que dicho que por uno de los dueños:

Evan Williams