La Guardia Civil en la denominada operación "AKELARRE", ha detenido al creador de uno de los virus informáticos que en el pasado mes de agosto afectó a más de 120.000 usuarios de la red.
Este virus denominado KELAR o RALEKA, fue detectado por las empresas antivirus y se difundía aprovechando una vulnerabilidad de los sistemas windows 2000 y XP, provocando que las máquinas infectadas estuviesen a disposición del creador del virus para vulnerar la intimidad de sus usuarios, causar daños en sus sistemas o para se utilizadas en ataques a terceros.
Las investigaciones se iniciaron el pasado mes de agosto, cuando la Guardia Civil tras una comunicación del Departamento de análisis de virus de la empresa Panda Software, alertó de la existencia de este virus y la sospecha de que podía tener un origen español.
Los indicios sobre la autoría del virus apuntaban hacia un grupo de "phreakers" (dedicados al fraude en telecomunicaciones) autodenominado AKELARRE, que comenzó su andadura sobre el año 1998 y que tras un período de aparente inactividad reapareció nuevamente orientando su actividad hacia el "hacking".
Este grupo estaba compuesto por varias personas que se apodaban 900K, DOING, SANITY, DEBYSS y DARKEAGLE. El primero de ellos era el líder del grupo.
Los efectos del virus eran transparentes para el usuario infectado, quien, únicamente podía percibir una ralentización de su tráfico en Internet. Sin embargo, su ordenador se conectaba a una serie de redes de IRC (a través de redes de chat), al canal "atolondra0", en el que se quedaba a la espera de recibir órdenes para realizar ataques de denegación de servicio.
Igualmente, las máquinas infectadas podían ser controladas por el creador del virus, accediendo a todo su contenido o pudiendo utilizarlas como puentes para atacar a terceros.
La investigación técnica sobre el virus y sobre los miembros del grupo permitió, el pasado día 19 de noviembre, detener en una localidad de la Comunidad de Madrid a A.C.P., de 23 años, apodado 900K, como responsable y creador del virus KELAR o RALEKA, y se procedió a la realización de tres registros domiciliarios en los que se intervinieron de ocho equipos informáticos.
MODUS OPERANDI
El detenido creó un virus al que denominó "BEMDER"que aprovechaba la vulnerabilidad del funcionamiento del servicio RPC (Remote Procedure Call) a través del puerto TCP/135, de los sistemas Windows 2000 y XP. Este mismo "bug" (agujero) de seguridad es el que aprovecha el conocido "Blaster".
El virus era del tipo gusano, que se autoreplicaba a través de las máquinas infectadas. Una vez infectados, los ordenadores se conectaban a un sitio web ubicado en el extranjero que les redirigía a otro alojado en un servidor español, Arrakis, desde el que se descargaban una actualización del virus y un troyano, el "NTROOKIT".
Una vez actualizado el virus y descargado el troyano se conectaban a la página de Microsoft para descargarse el parche del RPC, impidiendo que otro "hacker" accediera al ordenador por esa vulnerabilidad y evitando sospechas del usuario de la máquina.
Finalmente, como el virus incluía un cliente de IRC, se conectaba a distintas redes del mismo, a través del canal "atolondra0", donde quedaba a la espera de recibir órdenes del autor del virus, que debería conectarse a esos canales con el nick "mend0za", para realizar ataques de denegación de servicio (DoS).
Desde su creación hasta el 27 de agosto (14 días), fecha en la que se descubrió su existencia y que se retiró por la empresa Arrakis la página desde la que se descargaban la actualización del vírus y el troyano, se han contabilizado más de 120.000 ordenadores infectados. Se sospecha que el virus ha seguido extendiéndose a todos aquellos usuarios que no dispongan de antivirus actualizado y del correspondiente parche de Microsoft.
Además de los efectos del virus, no hay que olvidar que cada una de las máquinas infectadas estaban a disposición del creador del virus para vulnerar la intimidad de sus usuarios, causar daños en sus sistemas o para ser utilizadas en ataques a terceros.
La culminación de este servicio ha supuesto el primer operativo realizado contra un diseñador de virus español con tan elevado índice de infección, suponiendo un hito en la lucha contra la delincuencia informática en nuestro país.
La operación ha sido llevada a cabo por efectivos del Grupo de Delitos Telemáticos (GDT) de la Unidad Central Operativa de la Guardia Civil y ha contado con la colaboración de la empresa española de antivirus y seguridad informática Panda Software.
---------------------
INFO: http://www.guardiacivil.org/prensa/notas/win_noticia.jsp?idnoticia=1416
------------------------------------------------------
Marcadores