• Tweet

Dos sitios web especializados en software de acceso remoto conocido como "rootkits" fueron víctima de un ataque distribuido de negación de servicio (DDoS). El ataque aparentemente fue liderado por un grupo de hackers y autores de rootkits, quienes tomaron la ofensiva a críticas de su software publicados en los sitios.

Rootkit.com, un sitio administrado por el experto en seguridad Greg Hoglund, ha estado inaccesible por casi una semana. Otros dos sitios, operados por un autor de rootkits conocido como "Holy Father" también han sido víctimas de los ataques, los cuales se cree que es trabajo de hackers Búlgaros y Turcos conocidos como SIS-Team, de acuerdo con Hoglund, jefe ejecutivo de HBGary, Inc. una compañía de servicios y software en tecnologías de información.

El ataque contra rootkit.com empezó el martes 5 de abril, después de que alguien utilizando el nombre de "ATmaCA" publicó un mensaje en uno de los grupos de discusión en el sitio que anunciaba diferentes rootkits vendidos por SIS Team, incluyendo SIS-Downloader, ProAgent y SIS-IExplorer.

Los programas son herramientas spyware que combinadas, permiten a los atacantes remotos comprometer otros equipos utilizando páginas web. Estas herramientas son vendidas en línea en sitios como www.spyinstructors.com y son populares entre spammers, quienes utilizan estas herramientas para instalar programas de control remoto en los equipos que después son utilizados para enviar spam.

La publicación de ATmaCA se dirigía a miembros de rootkit.com, quienes objetaron que autores de rootkits estaban utilizando el foro como un canal de propaganda para su software comercial. Otras herramientas publicadas en rootkit.com son libres, y los autores generalmente publican ligas al código fuente de dichas herramientas.

En la guerra entre los miembros de SIS-Team y los de rootkit.com, han surgido varias preguntas sobre la calidad de los productos de SIS-Team. Algunos usuarios alegan que sus herramientas están escritas con una calidad muy pobre y que en ocasiones los equipos se pasman al ejecutarlas.

Horas después de la primera publicación de ATmaCA, el sitio web de rootkit.com fue atacado por una red de mas de 500 equipos comprometidos, o bots, que inundaron el sitio con mas de 170,000 peticiones por segundo, haciendo imposible que la mayoría de usuarios de Internet consultara al sitio.

Otros dos sitios web operados por "Holy Father" fueron atacados por un DDoS después que el operador criticara la acción de ATmaCA y SIS-Team, esto de acuerdo con un correo electrónico del propio "Holy Father".

En ambos casos, un correo fue enviado a los operadores de los sitios web, justo antes de generar el ataque DDoS, en el que les ofrecían detener el ataque si publicaban disculpas para ATmaCA y SIS-Team en sus sitios.

Hoglund, quien es un experto en seguridad y autor del libro "Exploting software", ha intentado desde el pasado lunes levantar el sitio rootkit.com de vuelta. Se mostró en desacuerdo con los ataques, los cuales menciona que fueron provocados por un grupo de hackers inmaduros. Las publicaciones de ATmaCA y de SIS-Team serán removidas del sitio como parte de la política del mismo.

Rootkit.com tiene más de 25,000 usuarios registrados y alrededor de 30 patrocinadores. A pesar de que la reputación de rootkits como herramientas de hackers, muchos de los que visitan el sitio son profesionales de seguridad y estudiantes quienes estudian seguridad en cómputo y utilizan el código fuente de los rootkits disponibles en el sitio para encontrar métodos de evitar este tipo de malware.