Noticias de seguridad

Hacktivismo DDoS: Un ejercicio de alto riesgo

Garantizar tu seguridad mientras utilizas estas herramientas es difícil de lograr y, al participar en estas acciones, arriesgas tu privacidad.

La invasión rusa a Ucrania ha provocado una enorme cantidad de empatía de personas de todo el mundo. Algunos han contribuido brindando ayuda y refugio a los refugiados, mientras que otros han donado fondos a organizaciones benéficas que apoyan a los que están en Ucrania. 

También hay quienes han adoptado un enfoque diferente: piratear computadoras rusas. Estas comunidades hacktivistas se han reunido en varios lugares (un canal de Telegram llamado IT ARMY de Ucrania (sitio en inglés), un subreddit dedicado (sitio en inglés) y la notoria red Anonops (sitio en inglés) y han comenzado a desarrollar herramientas para ayudar a su causa. 

Una categoría de estas herramientas son los sitios web que participan en ataques DDoS en servidores rusos. Es posible que muchas personas ya estén familiarizadas con el original, hxxps://stop-russian-desinformation.near[.]page. 

Este sitio ha inspirado al menos a media docena de clones o variaciones adicionales, desde simples cambios de diseño hasta ideas bastante ingeniosas, como el popular juego 2048 (sitio en inglés) que también participa en el DDoS de fondo.


Una captura de pantalla del código con sitios web específicos

¿Cómo funcionan estos sitios web? 

En pocas palabras, estos sitios web contienen una lista de servidores, junto con contadores para monitorear la cantidad de solicitudes realizadas y un código JavaScript que repetidamente realiza solicitudes a los servidores de la lista. Las listas contienen principalmente servicios rusos y bielorrusos que van desde el gobierno, los bancos y los medios hasta bandas y varias empresas rusas. Entre los sitios web más conocidos, hemos observado las siguientes páginas:

  • hxxps://1tv.ru: un importante canal de televisión ruso
  • hxxps://sberbank.ru: El mayor banco ruso
  • hxxps://belta.by: agencia estatal de noticias nacional de la República de Bielorrusia
  • hxxps://fsb.ru: El Servicio Federal de Seguridad de la Federación Rusa

Si bien las listas a menudo difieren (ya sea según las preferencias personales de los creadores de la lista o porque incluyen consejos incorporados de Telegram, por ejemplo), es interesante que el código subyacente sea prácticamente el mismo. Esto plantea una pregunta: ¿Estos esfuerzos valen tanto riesgo?

Play For Ukraine, una variante DDoSing del juego 2048

El método actual que usa JavaScript en el navegador para generar tráfico de red es bastante ineficiente. También hay otras consideraciones que deberían preocuparte: en la UE, dicho uso de una computadora suele ser ilegal y, si bien es posible que no haya repercusiones ahora, es posible que regresen más adelante (y es posible que Rusia no sea el único en usar eso, contra ti). 

Además, muchos servidores en Rusia, incluso los que no están asociados con el gobierno (hemos visto un espejo de repositorio para varias distribuciones de Linux), ya han implementado el bloqueo geográfico (sitio en inglés). En otras palabras, estos servidores rechazan o restringen directamente las solicitudes de direcciones IP que no son rusas. Rostelecom, el proveedor de servicios digitales más grande de Rusia, dejó de publicar prefijos públicos de infraestructura de gobierno electrónico (AS196747) en el Protocolo de puerta de enlace fronteriza (BGP) fuera de Rusia, limitando efectivamente su tráfico entrante a direcciones IP rusas de instituciones gubernamentales.


Visitantes de sitios web DDoSing

Es importante aclarar el hecho de que al visitar dichas páginas, el usuario se registra inmediatamente para participar en una actividad ilegal (DDoS). Este comportamiento peligroso ocurre sin el consentimiento explícito del visitante del sitio web porque el JavaScript malicioso comienza a atacar tan pronto como se carga. 

Además, al usuario se le asigna una lista fija de objetivos que se ha seleccionado en función de las preferencias de los creadores de la página. Esto lleva a situaciones en las que los hacktivistas atacan inesperadamente objetivos como una empresa minera ucraniana (hxxps://ugmk.ua) o más de 7000 objetivos desde la página hxxps://kuzelovi[.]cz/FuckPutin.html, incluidos los espejos del repositorio de Fedora, que está alojado por un grupo de medios ruso, o páginas de la sucursal rusa del European UniCredit Bank. Atacar objetivos que han sido seleccionados por otra persona también significa que los objetivos individuales pueden reemplazarse silenciosamente sin previo aviso. Esto ha llevado a nuestro equipo a tomar la decisión de no descartar estos sitios web como herramientas de hackeo, sino clasificarlos como malware.

Lo mismo puede decirse de varias secuencias de comandos de Python o de línea de comandos que tienen como objetivo lograr resultados similares. Por comodidad, muchos de ellos proporcionan imágenes de Docker; sin embargo, su interior es básicamente el mismo: son scripts simplistas que hacen ping a servidores específicos o variantes de herramientas de prueba de estrés de código abierto. Hemos visto varios proyectos de GitHub que (sitio en inglés) incluyen herramientas antiguas en Docker por conveniencia, algunos de ellos ya tienen casi cien bifurcaciones.

Si bien existen algunas diferencias con las páginas web DDoS listas para usar, debes ejecutarlas y proporcionar objetivos tú mismo, todo lo demás que hemos descrito aún se aplica. A partir de los archivos README, la intención es clara, en lugar de caminar por una línea delgada habitual al perfilarse como herramientas de prueba de estrés. Estas herramientas también pueden convertirse en objetivos de contraoperaciones al usar su código y combinarlas con código malicioso, que puede pasarse por alto fácilmente, ya que algunas de estas herramientas ya están ofuscadas.

Desafortunadamente, no solo los usuarios de estos sitios y herramientas pueden estar potencialmente expuestos al peligro. Muchas de las páginas y herramientas han sido publicadas en GitHub por desarrolladores o colaboradores usando sus cuentas privadas o de trabajo. Como resultado, la mayoría de estas actividades maliciosas podrían rastrearse fácilmente en el futuro por parte de los empleadores, la policía o posiblemente incluso por piratas informáticos que busquen represalias.

Para concluir, nos gustaría recapitular las conclusiones más importantes de la investigación de nuestro equipo y ofrecer algunos consejos para mantenerte a salvo:

  • Desalentamos a todos a participar en estas iniciativas.
  • Realizar ataques DDoS es ilegal. 
  • Es difícil garantizar tu seguridad mientras usas dichas herramientas y, al participar en estas acciones, arriesgas tu privacidad. 
  • Al usar estas herramientas, podrías causar daños colaterales contraproducentes, especialmente si no comprendes lo que estás haciendo al usarlas. 
  • Históricamente, herramientas similares han sido abusadas por varios actores que aprovecharon su popularidad y comenzaron a distribuir sus propias variantes, incluido el malware.