December 1, 2021
De parte de Algrano Sembrando La Duda
275 puntos de vista


Entre los d铆as 19 y 23 de noviembre de 2021 se produjo un ataque continuado de denegaci贸n de servicio que tuvo como objetivo siete sitios web alojados en los servidores de Nodo50. Todos ellos medios de comunicaci贸n independientes de poderes econ贸micos. Una semana despu茅s y tras el an谩lisis de, entre otras cosas, 107 GB de logs con 428 millones de l铆neas, esto es lo que hemos averiguado sobre el ataque.

Asamblea de Nodo50

Nodo50 es un proveedor de servicios de Internet sin 谩nimo de lucro y enfocado a los movimientos sociales. Los medios de comunicaci贸n que han sido v铆ctimas del ataque son:

  • La Marea, que es una publicaci贸n en papel y digital surgida del cierre de la edici贸n en papel del diario P煤blico en 2012. Es un medio independiente de poderes empresariales y pol铆ticos ya que su financiaci贸n proviene de sus lectores/as.
  • El Salto es un medio de comunicaci贸n creado en 2016, producto de la evoluci贸n del peri贸dico Diagonal y de la convergencia de varias decenas de medios de comunicaci贸n. Se rige por principios democr谩ticos, de propiedad colectiva, descentralizado y financiado por la gente, no por grandes corporaciones, para asegurar su independencia informativa.
  • Kaos en la Red fue creado en 2001 y se define como un medio de contrainformaci贸n plural, de alcance mundial y de enfoque anticapitalista.
  • AraInfo es un diario libre fundado en 2010. Se define como un proyecto cooperativista que trabaja por la soberan铆a de la comunicaci贸n desde principios solidarios, colaborativos, de honestidad y feministas.
  • Y tambi茅n el propio sitio web de Nodo50, donde, adem谩s de ofertar sus servicios como proveedor de internet, publica cada d铆a una peque帽a selecci贸n de noticias.

Los sitios web afectados durante el ataque fueron:

Los ataques duraron 116 horas, comenzando el 19 de noviembre a las 12:21 UTC y por un periodo de 4 d铆as y medio hasta el martes 23 de noviembre a las 22:13 UTC.

Desde el primer d铆a el atacante utiliz贸 dos tipos principales de ataques:

  • Ataques de capa de aplicaci贸n (L7) contra cada uno de los sitios utilizando m谩s de 27.000 direcciones IP. El atacante inund贸 los sitios con solicitudes falsas por turnos o inundando varios sitios simult谩neamente.
  • Ataques de inundaci贸n de tr谩fico UDP mediante tr谩fico reflejado, principalmente usando los servicios NTP y DNS.

Durante la fase inicial de los ataques, el atacante realiz贸 varias comprobaciones online para verificar la eficacia de sus estrategias. Utiliz贸 el servicio check-host.net, utilizado con frecuencia por 芦booters禄 o 芦IP stressers鈥 de pago (servicios para realizar ataques).

Al no tener 茅xito, el atacante a帽adi贸 m谩s potencia a sus ataques, a帽adiendo otras botnets compuestas por proxies abiertos, la red Tor y docenas de dispositivos del servicio VPN vpngate.com.

Una gran parte de las botnets proceden de India, Vietnam, T煤nez y Rusia. Muchos de los bots est谩n dentro de redes dom茅sticas, lo que sugiere que el atacante compr贸 acceso a una infraestructura de ataque que tiene el control de dispositivos de IoT (Internet de las cosas) o de dispositivos infectados por malware.

Casi 9.000 direcciones IP participantes en el ataque est谩n asociadas a los proveedores de India AS55836 Reliance Jio Infocomm Limited y a los de Vietnam AS131429 MOBIFONE-VN y AS7552 Viettel Corporation.

Autor铆a del ataque

Estos ataques rara vez son reivindicados, pero en este caso alguien que reclamaba la autor铆a se puso en contacto por Twitter con los medios atacados y con Nodo50. Desde la cuenta de Nodo50 se le pidi贸 una prueba de la autor铆a, cosa que hizo anunciando la interrupci贸n del ataque contra www.kaosenlared.net, lo que efectivamente sucedi贸.

La cuenta de usuario del atacante, @a66229952, fue eliminada el s谩bado 20, sin que haya vuelto a ponerse en contacto por otros medios. Ignoramos si la cuenta fue auto borrada o si Twitter la cancel贸 por reportes de otros usuarios/as.

Por la forma en que se desarroll贸 el ataque, por la forma en que reaccionaba a nuestras medidas de mitigaci贸n, y por la forma en que distribu铆a su potencia de ataque entre varios objetivos, nos parece que se trataba de una 煤nica persona, al menos en lo que se refiere a la parte t茅cnica de ejecutar el ataque (鈥渁l teclado鈥).

Adem谩s, por las horas de inicio y final de los ataques de flujos UDP (ver tabla mas abajo), podemos deducir que est谩 en la zona horaria del estado espa帽ol, o muy pr贸ximo, que est谩 libre a partir de las 12 del mediod铆a para dedicarse a los ataques, y que detiene los ataques UDP antes de irse a dormir, no muy tarde, entre las 00:00 y las 01:00 AM. Quiz谩s no tiene presupuesto para dejarlos toda la noche en autom谩tico, pues es muy probable que los ataques de inundaci贸n de tr谩fico UDP le salgan mas caros que los L7 al necesitar IP spoofing. Lleg贸 a usar 152 horas de ataques UDP contra diferentes objetivos (suman mas que el total de horas del ataque porque se solapaban al atacar a varios objetivos a la vez).

Sobre la motivaci贸n del atacante se ha especulado con su ideolog铆a ultraderechista. No hemos encontrado nada que pueda confirmarlo, mas all谩 de la fecha elegida para comenzar el ataque (fin de semana del 20-N) y que los medios atacados forman parte de lo que un ultraderechista puede considerar medios antagonistas. Al contrario que en 2013, cuando el atacante se defini贸 a s铆 mismo como falangista, el autor de este ataque no realiz贸 proclamas ideol贸gicas en el poco tiempo que estuvo activo en Twitter.

Origen de los ataques

Botnets m贸viles
Mas del 20% de las IP atacantes en el ataque L7 pertenecen al mayor proveedor 4G de India, Jio, lo que parece indicar que se trata de una botnet formada por tel茅fonos y dispositivos m贸viles que han sido comprometidos por la instalaci贸n de aplicaciones maliciosas. Este tipo de botnet es una novedad respecto a los anteriores ataques de 2013 y 2015.

Como ejemplo del tipo de aplicaciones maliciosas que se usan para construir estas botnets de m贸viles tenemos:

Stressers o booters
De nuevo los stressers son una herramienta primordial en este tipo de ataques. Son servicios que ofrecen la realizaci贸n pruebas de estr茅s a redes y servidores, ofreciendo al cliente un panel de control en el que elegir distintas 鈥減ruebas鈥 y a que objetivo dirigirlas. La realidad es que se usan para realizar ataques DDoS a cambios de dinero, por un precio que es muy bajo en las versiones menos potentes de esos ataques.

Stressers VIP
Los stressers hacen uso de redes de bots para realizar sus ataques. Pero una botnet que participa en muchos ataques es identificada, bloqueada y pierde efectividad (se quema r谩pidamente). Es por eso que los stressers reservan fragmentos de sus botnets, o botnets independientes, menos utilizadas para clientes especiales, que pagan mas o que son revendedores de sus servicios de ataque. Esos clientes tendr谩n acceso a un panel de control mas avanzado y se les garantizar谩 mas posibilidades de 茅xito en sus ataques. En el otro lado, para las pruebas gratuitas que ofrecen en sus webs, se usar谩n las IP mas quemadas.

Fin de la primera parte del informe sobre el ataque DDoS de noviembre de 2021.

Otros autores, es una categor铆a gen茅rica para las publicaciones de art铆culos interesantes de autores que nos parece bien compartir pero que no tienen vinculaciones con Algrano. En todas las publicaciones aparecer谩 la autor铆a propia as铆 como enlaces para buscar mas informaci贸n relacionada.




Fuente: Algranoextremadura.org