En mayo de 2004 tuvieron lugar varios hechos graves e inesperados: la aerolínea Delta Air Lines tuvo que cancelar varios vuelos transatlánticos a causa de la caída de sus sistemas informáticos, la agencia de noticias France-Presse (AFP) sufrió durante horas el bloqueo de todas sus comunicaciones satelitales, el Sistema de Vigilancia Costera británico tuvo que ser desactivado durante todo un día, y la actividad en las oficinas de organizaciones como la Comisión Europea o el banco Goldman Sachs se resintió gravemente.
Todos estos no fueron hechos aislados, ni mucho menos. De hecho, todos ellos fueron causados por el mismo malware, conocido como Sasser, un 'gusano' que causó el pánico en Internet por esas fechas, antes de que se difundiera ampliamente el parche de Microsoft que solventaba la vulnerabilidad de la que se había aprovechado el gusano.
En realidad, el pánico provocado por Sasser se había iniciado tan sólo tres meses después de que empezara a cundir la preocupación por otro famoso malware, el gusano 'Netsky'. De nuevo, esto no fue ninguna casualidad: ambos hechos estaban interrelacionados. Y la culpa de todo recaía en un estudiante de instituto de la Baja Sajonia (Alemania).
Cómo actuaba Lasser y cómo se protegieron contra él los usuarios
'Sasser' ('Win32/Sasser.A' para los expertos en ciberseguridad) fue bautizado así porque se propagaba explotando un desbordamiento de búfer en un componente, denominado LSASS (Local Security Authority Subsystem Service), los sistemas operativos afectados: Windows 2000, Windows XP y Windows 2003 Server (en total, 300 millones de equipos vulnerables en todo el mundo). Dicho desbordamiento se basa en una llamada API aparentemente obsoleta a Microsoft Active Directory, que permite consultas remotas sin comprobar, lo que permitía bloquear LSASS.exe.
Una vez que lograba infectar una máquina, Lasser escaneaba diferentes rangos de direcciones IP para lograr detectar equipos vulnerables: si lo lograba, el gusano recurría a su propio servidor FTP (alojado en el equipo previamente infectado) para descargarse como 'avserve.exe' en sus nuevas víctimas y, posteriormente, alterar el Registro de Windows. Este sistema le permitía colonizar en un breve periodo de tiempo toda una red local, tal y como se observa en este vídeo:
Pero más allá del sistema usado para saltar de un equipo a otro, Sasser se popularizó por los 'síntomas' mostrados por los equipos ya infectados: el usuario sólo tenía la oportunidad de ver una pequeña ventana nada más iniciar su PC, en la que se le indicaba que éste se iba a apagarse en unos segundos, acompañado de la pertinente cuenta atrás y del mensaje "El proceso del sistema C:\WINNT\system32\lsass.exe terminó de forma inesperada indicando código 0. Windows debe reiniciar ahora".
Muchos usuarios recurrieron en ese momento al único truco que se conocía para evitar que el PC se apagara: aprovechar esos segundos de margen para cambiar la fecha del sistema Windows. Así, si Sasser había programado nuestro PC para apagarse a mediodía del 7 de abril de 2004, bastaba retrasar la hora / día tanto tiempo como necesitáramos usar el PC sin interrupciones. Otra opción era usar el comando 'shutdown -a' para anular la secuencia de apagado, pero éste no se encontraba disponible en Windows 2000.
Activar el Cortafuegos integrado de Windows XP también funcionaba, en este caso para evitar que el PC llegara a infectarse.
Lo más curioso de todo es que la vulnerabilidad en que se basaba Sasser había sido ya parcheada por Microsoft en abril de 2004, días antes de que se lanzara el gusano, pero la mayoría de los usuarios no habían accedido a la misma. Fue precisamente su lanzamiento lo que permitió al creador de Lasser realizar al parche ingeniería inversa para descubrir el funcionamiento exacto de la vulnerabilidad.
El culpable
Una vez contenidos los daños, se inició la caza del responsable de este desastre para la ciberseguridad por parte de las fuerzas de seguridad de medio mundo. Microsoft también arrimó el hombro, ofreciendo una recompensa de 250.000 dólares a aquellos que aportaran pistas que permitieran identificar al responsable.
Fue precisamente el 'soplo' de uno de sus compañeros de clase lo que permitió a las autoridades detener a Sven Jaschan, de 18 años, y alumno de la Escuela Profesional de Informática de Rotemburgo. Él, que se había envalentonado al ver cómo su primer gusano, Netsky, salía en las noticias en marzo, acababa de borrar la mayor parte de sus discos duros tras comprobar las descomunales consecuencias de Lasser.
Su compañero de clase le había echado una mano con Netsky, que pretendía ser un 'antigusano' (borraba los gusanos Bagle y Mydoom en los equipos que infectaba). Ese conocimiento de su implicación en Netsky le permitió señalarlo como autor de Lasser.
Jaschan fue juzgado como menor de edad porque los tribunales alemanes determinaron que tenía 17 años cuando creó el gusano, puesto que fue liberado el mismo día de su decimoctavo cumpleaños (29 de abril de 2004).
Jaschan fue declarado culpable de sabotaje informático y alteración ilegal de datos, tras lo cual fue sentenciado, en 2005, a una pena de 21 meses que se conmutó por varias semanas de trabajo comunitario.
Para entonces, Jaschan ya había sido empleado como consultor por la empresa de ciberseguridad alemana Securepoint, decisión que provocó que ésta perdiese varios contratos y que la compañía Avira (desarrolladora de antivirus) rompiera relaciones con ella.
Hoy en día, Jaschan es director de una empresa de pagos online con sede en Alemania denominada Happy Benefits, que según su web trabaja con marcas como LIDL, Lego o Expedia.
Imagen | Marcos Merino mediante IA
Ver 1 comentarios