El otro día comentaba un artículo sobre las interioridades de una Botnet. Bien, si aquél artículo era interesante este (publicado el 20 de Noviembre) lo es el doble :-) A continuación hago un pequeño resumen.
En esta ocasión se habla de RBN (Russian Business Network), un ISP Ruso de San Petersburgo, que alberga websites de malware y phishing, originan spam…etc, es decir, si quieres dedicarte al cibercrimen este es tu ISP.
Como comenta el artículo, por todos es sabida la fama de la habilidad de los rusos en cuanto al desarrollo de malware. Virus y gusanos como Bagel, MyDoom o NetSky son producciones suyas. Dada la falta de oportunidades para el empleo en nuevas tecnologías que parece ser existe por esas tierras, muchas de las personas que desarrollarían líneas de código para productos en empresas, se pasan al lado oscuro; dinero fácil y rápido, vamos.
RBN, ofrece una completa infraestructura para los ciberdelitos. Phishing, malware, ataques DDoS, pornografía infantil…etc son soportados por este ISP ruso. Para ello, se pone a disposición del cliente varias botnets, shells remotas en servidores crackeados, servidores centralizados de gestión de estas actividades…etc. Numerosas formas de ataques (CoolWebSearch, vulnerabilidades VML, MPack…etc) son lanzados o albergados en sus redes. Por ejemplo, el 31 de Agosto del 2007, la web bankofindia.com fue comprometida insertando un iframe que instalaba 22 malwares diferentes en los clientes de dicho banco. El ataque a dicha web tenía como origen RBN.
El artículo además, habla de temas como BGP y Sistemas Autónomos para descubrir cuál es la infraestructura de red de este ISP. RBN se desglosa en varios AS con los que se establecen diferentes peerings para hacer más difusa aún su estructura, pero que básicamente podría ser (la siguiente imagen de la wikipedia se corresponde bastante con la del PDF):
Además de éstas, existe SBT-Tel (AS41173), que es la principal ya que permite establecer los peerings con ISPs más grandes. SBT-Tel, según cuenta, intercambia completamente las rutas con Sirvernet, que está en el punto neutro de San Petersburgo de intercambio de rutas llamado SPB-IX (algo como Euskonix).
En el PDF también aparecen gráficos varios y rutas de los diferentes AS de los que se compone RBN. Además, cómo SPB-IX está, lógicamente, conectado con el punto neutro ruso, llamado MSK-IX (que equivaldría a Expanix a nivel español) y este a su vez con puntos de todo el mundo.
El estudio prosigue con estadísticas de webs albergadas en estas redes, siendo la mayoría pornografía infantil y malware.
Para evitar las acciones legales e investigaciones, los whois de las redes los tienen apuntando a países como Panamá. Por ejemplo:
$ whois 194.146.204.0 ... person: Josh Buslow address: Republic of Panama phone: +1 505 559 4493 e-mail: ripe@nevacon.net nic-hdl: JB3569-RIPE mnt-by: NEVSKCC-MNT source: RIPE # Filtered ...
además, los whois de los dominios apuntan a ciudades de EEUU como:
$ whois nevacon.net ... Registrant Contact: CREDONICCOM DOMAIN ADMINISTRATOR (credonic@gmail.com) +1.4198289155 Fax: - PO BOX 1991 Hallandale, FL 33008 US ...
los contactos facilitados son falsos…etc. Solamente ha habido aparición de un tal Jim Jaret, cuyo nombre obviamente será falso, tratando de limpiar el nombre del ISP, pero en vano.
El estudio concluye con los cambios que ha sufrido este ISP a lo largo del tiempo para evitar todo tipo de acciones legales (contando obviamente con la pasividad del gobierno ruso), y cómo se perfila el futuro para evitar bloqueos (como ya están comenzando a hacer ISPs ingleses).
De hecho, un reciente artículo de The Inquirer, comenta que RBN ha sido trasladado a China haciéndose con 7 bloques de direcciones IP de este país. Se habla incluso de una desintegración en sub-RBNs para actuar en distintos países. Veremos qué es lo que pasa con el tiempo.
De lo mejorcito que he visto últimamente, y que obviamente, tenía que compartir ;-)
Pingback: Postmasters Vs Spammers » Top Spam Botnets