Era el 2010 cuando varias compañías de Bollywood contratan a Aiplex Software, organización dedicada principalmente a servicios anti-piratería, el encargo requerido fue; lanzar ataques de tipo DDOS, contra sitios que no respondieron a su advertencia de cierre por infracción al derecho de autor. Cuando los ataques de Aiplex comenzaron afectar los sitios web de torrents, las comunidades defensoras del tránsito libre de información decidieron devolver el favor pero algún llanero solitario se adelanto y logró bajar la firma atacante, así que el esfuerzo del colectivo se enfocó en los defensores del copyright como; la Asociación Cinematográfica de Estados Unidos, la federación Internacional de la industria Fonográfica, varias firmas de abogados y el Departamento de Propiedad Intelectual del Reino Unido entre otros. Estas acciones liderada por hacktivistas y activistas de internet fue conocida como operación: «Payback».

La herramienta utilizada fue: «Low Orbit Ion Cannon», o mejor conocida como «LOIC», programada en C# por «Praetox», su homologó en Linux es «LOIQ» y fue desarrollada en C++, ambas versiones buscan provocar una denegación de servicio, inundando el servidor con paquetes TCP, UDP o HTTP. «LOIC» fue creado en el 2008 para la operación «Chanology», incursión promovida por el grupo hacktivista Anonymous, en contra de la Iglesia de la Cienciología.

Para la operación «Payback» se implementa una funcionalidad conocidas como inteligencia de enjambre (HiveMind), la cual básicamente permite al usuario delegar el control de la aplicación a un operador de una canal de IRC, para realizar ataques coordinados, con esta botnet formada por voluntarios.

Conflicto bélico digital

El 24 de Febrero del presente año, el ejercito ruso comenzó una seguidilla de incursiones militares en el este de Ucrania, que a la fecha se extienden en gran parte del territorio Ucraniano.

Este conflicto bélico también tiene representantes en el mundo digital, tanto por parte de los gobiernos como de simpatizantes o adherentes a cada causa. En este contexto el 26 de Febrero el viceprimer ministro Ucraniano Mykhailo Fedorov, publicó en Twitter que el país estaba creando un “Ejército de TI” e hizo un llamado a aquellos con talentos digitales para que se unan al esfuerzo y “luchen en el frente cibernético”. La coordinación de las tareas se realizan en un canal de Telegram, que a diferencias de un grupo, la transmisión de información es unidireccional, es decir, sólo pueden publicar los administradores, los miembros conocidos como suscriptores tampoco pueden conocer la identidad de otros suscriptores, a la fecha de esta publicación el canal; «IT ARMY of Ukraine», posee un total de 308 mil suscriptores.

Este canal esta constantemente entregando «objetivos», como: IP, puertos y dominios para que los voluntarios realicen ataques, ya sea explotando vulnerabilidades o provocando denegación de servicios, entre los sitios web se pueden observar: bancos, empresas de turismo, comerciales, de telecomunicación, entidades gubernamentales, entre otras.

Disbalancer

Así como LOIC/LOIQ, tuvo un papel protagónico hace 14/12 años en las operaciones «Chanology» y «Payback«, en la actualidad la principal arma de la ciberguerrilla digital de botón gordo es: «Liberator», aunque es más conocida como: «Disbalancer«, herramienta que pertenece a una empresa del mismo nombre cuya propuesta comercial es una solución de ciberseguridad descentralizada que realiza pruebas de estrés para identificar vulnerabilidades DDoS a sus clientes y por otra parte «disBalancer (DDOS)«, es un Token, nativo de sus propio ecosistema, con el cual pagan a los interesados en compartir sus ancho de banda, «no utilizado, según ellos», para ser parte de su red o «botnet». A la fecha el token tiene un valor de 0.321804 dólares.

La técnica especifica utilizada para realizar el ataque DDOS no es conocida públicamente, hablan sólo de inundación de tráfico, ya que señalan que al ser un producto comercial que se reutilizó para la guerra cibernética, no consideran pertinente o seguro compartir el código o el método implementado.

La empresa ucraniana Disbalancer, re-implementó su producto estrella y lo llamo «Liberator«, con el objetivo de atacar los sitios web de propaganda rusos, según ellos, ya que no es posible conocer desde el aplicativo los objetivos atacados. Para este fin buscan apoyo en la comunidad solicitando que descargues e instales su aplicativo y lo utilicen en conjunto con una VPN. Desde su blog publican lo siguiente:

"Estamos encantados de lanzar una nueva aplicación: LIBERATOR, un nivel completamente nuevo para luchar contra los medios de propaganda rusos.

El objetivo principal de Liberator es bastante sencillo: ¡ayudar a liberar Ucrania!

Se dirige a sitios web de propaganda rusa y fuentes que contribuyen a la invasión rusa de Ucrania. Queremos hacer que todos los asesinatos y la violencia causados por las fuerzas militares rusas DETENGAN.

📢 Para saber más sobre la misión actual de disBalancer, lea nuestro anuncio.

Cualquiera que quiera unirse a nuestras filas para hacer que las organizaciones rusas estratégicas que dañan el inalcanzable de nuestro país instalen la aplicación Liberator.

¡POR FAVOR, COMPARTA EL ENLACE EN LA APLICACIÓN Y VAMOS A #stopPutin JUNTOS!

¡CUANTA MÁS GENTE EJECUTE LA APLICACIÓN, MÁS EFECTIVOS SON LOS ATAQUES!"

https://blog.disbalancer.com/disbalancer-launches-liberator/

Analizando el ejecutable

Si bien es cierto que en su blog señalan que el aplicativo puede ser reconocido y alertado como una herramienta de hacking por los antivirus al revisar este en la plataforma Virustotal, 20 productos reconocen en el, algún tipo de agente malicioso, como malware o troyano siendo: «Variant.Doina.33339» el más recurrente.

Por otra parte la pruebas dinámicas realizadas en la plataforma Any.run no son tan concluyentes aunque una de las conexiones utilizadas es reconocida como maliciosa, esta etapa requiere un análisis más profundo ya que se utilizó una cuenta gratuita, la cual sólo se ejecuta por 60 segundos y la familia del troyano «Doina«, tiene una característica particular que es llamar repetidamente a una sola API con el objetivo de retrasar el tiempo de análisis.

No todos los caminos llegan a IT ARMY.

Ha rio revuelto ganancia de pescadores reza el refrán, en la era de la infoxicación en conjunto a la pereza digital de muchos usuarios, forman la alquimia perfecta para que los cibercriminales manipulen o redirijan a sus victimas donde ellos quieren que estén, por ejemplo, los voluntarios para en-listarse en el ejercito digital de Ukrania son diariamente victimas de ellos.

Si nos posicionamos en la plataforma Telegram y buscamos «IT Army of Ukraine«, curiosamente, ninguno de los 8 canales que aparecen es el impulsado por viceprimer ministro Ucraniano, se debe tomar en consideración que el primero de la lista tiene 16k suscriptores, esto extrañamente confunde más seguido de lo que pensamos a nuestros «cansados reclutas», es más, si escribimos el nombre exacto del grupo en el buscador: «itarmyofukraine2022«, ninguno de los 6 grupos del resultado a nuestra búsqueda es el correcto.

En cuanto a la información publicada, aparentemente copian en gran parte el contenido del canal original, exceptuando cuando publican las «herramientas«, recomendadas una de ellas es es «Disbalancer«, que al realizar un análisis con Virustotal, 51 de 68 soluciones de antivirus lo detectan como malicioso.

El panorama sólo empeora cuando realizamos el análisis dinámico en any.run, ya que se identifica claramente actividades maliciosas, dentro de las cuales esta la conexión a un servidor de comando y control, curiosamente ubicado en la ciudad Moscú, Rusia. Busque un poco más antecedentes de la IP en cuestión y encontré otras «campañas» asociadas al mismo C&C del año recién pasado.

Otra herramienta muy «recomendada» por estos canales alternativos es: «AntiPutin_DDOS«, pero como ya lo imaginan, al realizar el análisis correspondiente, se identifican múltiples amenazas como : troyanos y malware.

Resumen

Desconozco si la finalidad de estos canales es atacar, defender, desinformar, delinquir o todas las anteriores, lo que si tengo claro, es que esto es sólo una fracción, una pequeña parte de la historia y una muestra de las batallas digitales en curso y están sucediendo ahora mismo, en este conflicto que todos esperamos termine pronto.

#HappyHacking!

» Preferiría la paz más injusta a la más justa de las guerras. » – Cicerón