NO-IP es uno de los muchos proveedores de DNS dinámicos
que se pueden utilizar gratis para registrar un subdominio en nombres populares
como “servepics.com” o “servebeer.com”. Por mucho tiempo, ha sido uno de los
métodos favoritos de los cibercriminales para registrar nombres de servidores
(hostnames) fáciles de actualizar que les permitan controlar sus programas
maliciosos. Ayer, Microsoft se pronunció
contra NO-IP y confiscó 22 de sus dominios.
También realizó una demanda civil contra "Mohamed
Benabdellah y Naser Al Mutairi, y la compañía estadounidense Vitalwerks
Internet Solutions, LLC (que hace negocios con No-IP.com), por su participación
en la creación, control y asistencia para infectar millones de ordenadores con
programas maliciosos, dañando así a Microsoft, sus clientes y al público en
general".
Microsoft mencionó dos familias de malware específicas
que se usaron “para infectar a víctimas inocentes con las familias de malware
Bladabindi (NJrat) y Jenxcus (NJw0rm)". Muchos cibercriminales y grupos de
activistas han utilizado estos programas para atacar a los usuarios, incluyendo
el famoso e infame Syrian Electronic Army (pronto publicaremos una entrada del
blog con más detalles al respecto).
Además, el cierre afectó muchas otras operaciones de
Amenazas Persistentes Avanzadas (APT) que empleaban NO-IP en su infraestructura
C&C. Algunas de ellas son:
1)Flame/Miniflame; 2) Turla/Snake/Uroburos, including Epic; 3) Cycldek;
4)Shiqiang; 5)HackingTeam RCS customers; 6) Banechant; 7) Ladyoffice;etc..
Según nuestras estadísticas, el cierre ha afectado de
una u otra forma por lo menos al 25% de los grupos de APTs que estamos
observando. Algunos de estos servidores se habían utilizado antes en
operaciones de ciberespionaje avanzadas y ahora dirigen a lo que parece ser una
trampa sinkhole de Microsoft en 204.95.99.59.
Algunos de los dominios de nivel superior que se
sacaron de Vitalwerks y ahora utilizan la infraestructura DNS de Microsoft son:
1)BOUNCEME.NET;
2)MYFTP.BIZ; 3)MYVNC.COM; 4)NO-IP.BIZ; 5)NO-IP.INFO; 6)REDIRECTME.NET;
7)SERVEBEER.COM; 8)SERVEBLOG.NET; 9)SERVECOUNTERSTRIKE.COM; 10)SERVEGAME.COM;
11)SERVEHALFLIFE.COM; 12)SERVEHTTP.COM; 13)SERVEMP3.COM; 14)SERVEPICS.COM;
15)SERVEQUAKE.COM; 16) SYTES.NET
Mientras tanto, NO-IP / Vitalwerks ha publicado su respuesta
en Internet :
- “Parece que la infraestructura de Microsoft no puede manejar los miles de millones de solicitudes de nuestros clientes. Millones de usuarios inocentes están sufriendo cortes en sus servicios debido a los intentos de Microsoft de remediar los servidores de unos pocos usuarios maliciosos".
- Creemos que las acciones de ayer han sido un duro golpe contra muchos cibercriminales y operaciones APT de todo el mundo.
- En el futuro, estos grupos tendrán más cuidado cuando usen servidores DNS dinámicos y aumentarán su dependencia hacia sitios comprometidos y direcciones IP directas para la gestión de sus infraestructuras de Comando y Control.