Mar 30 2013

Mafias rusas, narcos holandeses y lucha contra el spam

Cualquiera un poco interesado en el spam y el malware casi seguro habrá oído alguna vez hablar de Russian Business Network y puede que también de CB3ROB/CyberBunker.

Los primeros fueron (¿son?) una organización de cibercrimen que entre sus actividades más destacas figuraba la del envío del spam más fraudulento que hayamos visto. A la organización se la da por desarticulada (¿o no?) así que el registro de sus muestras de spam en Spamhaus ya no está disponible. Otras de sus actividades era la distribución de malware (sus falsos antivirus llegaron a ser muy célebres), robo de identidad, pornografía infantil, botnets, phishing, … incluso se le atribuyen conexiones políticas que podrían haberle llevado a atacar por encargo los sistemas informáticos de Georgia, Azerbaiyán y Estonia tras sus enfrentamientos con el régimen ruso.

Uno de los datacenters en los que se cree que tenían alojadas sus actividades RBN era CyberBunker. CyberBunker es un datacenter establecido en un antiguo búnker de la OTAN que da alojamiento a todo tipo de material sin ningún reparo, salvo pornografía infantil y terrorismo, por lo que era el refugio ideal de RBN así como de otros ciberdelincuentes.
Una selección de lo mejor salido del datacenter de CyberBunker podemos encontrarlo en Spamhaus mientras dure bajo su alias CB3ROB, ya que el Datacenter ha sido desconectado (1, 2) y sus dueños están buscando carrier desesperadamente, así que es posible que su perfil acabe desapareciendo de Spamhaus si su actividad cesa. CB3ROB/CuberBunker tiene el dudoso honor de estar en el primer puesto de la lista de ISP más permisivos con el spam de Spamhaus.
Además de dar alojamiento a actividades ilegales, los propios administradores de CyberBunker han sido responsabilizados de falsedad documental, evasión de impuestos, apropiación de fondos e incluso, debido a un incendio provocado en el datacenter, los bomberos holandeses descubrieron un laboratorio de éxtasis y MDMA en una de las plantas del búnker.

Spamhaus es una organización sin ánimo de lucro que se dedica a hacer listas negras de servidores, personas y dominios usados para enviar spam. Esas listas negras son después usadas por servidores de correo legítimos para bloquear el correo que provenga de orígenes que son conocidos por enviar spam.
Cabe señalar que, al contrario de lo que afirma CyberBunker, Spamhaus no supone ninguna especie de autoridad autoestablecida y somos sus propios usuarios los que decidimos voluntariamente hacer uso de sus listas para bloquear a los servidores que han identificado como spammers. Spamhaus no tiene más autoridad que la que sus propios usuarios hemos querido darle.
Tampoco es cierta la afirmación de CyberBunker de que el correo electrónico es obsoleto y ya nadie lo usa y en cualquier caso eso no justifica el envío de spam fraudulento.

Sabiendo todo esto, era cuestión de tiempo que RBN y CyberBunker acabaran en la lista negra de Spamhaus. Sobre todo teniendo en cuenta la polémica política de escalada de Spamhaus: primero bloquean al spammer y avisan al proveedor para que les cierre el servicio, si el proveedor no hace caso, bloquean todo el proveedor y avisan a su carrier, si el carrier tampoco hace caso, bloquean todo el carrier, … y así van subiendo la presión hasta que consiguen que el proveedor ceda y deje sin servicio al spammer.

Ya en una ocasión acabaron bloqueando A2B, el carrier de CyberBunker. porque ni CyberBunker ni A2B querían bloquear a sus spammers y en esa ocasión la tensión llegó hasta el punto de que supuestamente A2B llegó a falsificar una denuncia ante la policía.
A principios de este mes, Spamhaus volvió a bloquear a CyberBunker y el resultado fue el que algunos llaman el mayor ataque DDoS de la historia.

El resto de la historia, en mi artículo en Security by Default:

Cómo CyberBunker atacó a Spamhaus y casi se llevó a medio Internet por delante

Actualización 2013-04-04:

Bunkerinfra ha emitido una nota de prensa anunciando que ellos son los actuales dueños del búnker desde 2010 y que la actividad de CB3ROB en el búnker fue cesada en 2002 por las autoridades municipales tras el incendio del laboratorio de éxtasis que alojaban (CyberBunker cuenta la historia del Ayuntamiento de una forma muy distinta, afirmando que el Ayuntamiento tuvo que ceder y siguen operando en el búnker). Durante ese incendio, CyberBunker, que hasta entonces era administrado por Herman Johan Xennt, pasó a manos de Sven Olaf Kamphuis debido a la complicada situación legal de Xennt tras el descubrimiento del laboratorio y las acusaciones (principalmente por Joe Baptista) de evasión de impuestos y apropiación de fondos de Public-Root.
Bunkerinfra afirma, por lo tanto, que la información que se puede encontrar en la web de CyberBunker es falsa o, como mínimo, desactualizada. Publican además una lista de fotos que demostraría que son los actuales operadores del búnker.

En cualquier caso, sea cual sea la nueva ubicación de CyberBunker, parece que, tras varios días desconectados, CB3ROB ha recuperado la conectividad, al menos en AS34109, parece que no todavía en AS51787, al menos desde aquí. Kamphuis también ha anunciado que se desvincula de STOPHAUS, la organización anti-Spamhaus de la que era portavoz y a la que culpa del ataque DDoS a Spamhaus.

Sin embargo, Greenhost encontró evidencias de otro ataque de CB3ROB a Spamhaus cuando detectaron que sus filtros basados en Spamhaus estaban marcando como spam muchos falsos positivos. Tras una investigación se encontraron con que la dirección IP de ese servidor había sido «secuestrada» por CB3ROB (algo parecido a lo que hizo The Pirate Bay cuando simularon mudarse a Corea del Norte) para suplantar al servidor de Spamhaus y hacer que marcase todas las direcciones IP consultadas como si estuvieran en la lista negra. Este ataque serviría después en bandeja el argumento usado en repetidas ocasiones por Kamphuis de que la mayor parte del correo que Spamhaus marca como spam es en realidad correo legítimo. Y esta vez, CB3ROB sí reivindicó el ataque.

Actualización 2013-04-30:

Sven Kamphuis, dueño de CyberBunker, detenido por la policía española a instancias de investigación en Holanda sobre el ataque DDoS.

Deja un comentario

This site uses Akismet to reduce spam. Learn how your comment data is processed.