Brian Krebs publica una serie de interesantes artículos sobre la Russian Business Network (más conocida como la RBN), una compañía que supuestamente proporciona alojamiento e infraestructura web a la creciente industria del malware, convirtiéndose así en una especie de centro de operaciones mundial desde donde se descargan los troyanos y hacia donde viaja la información robada.
La RBN se encuentra en St. Petersburg y proporciona alojamiento web. Su actividad parece estar íntimamente relacionada con la industria del malware, hasta el punto de que muchos han decidido bloquear directamente toda conexión con direcciones pertenecientes a esta red. Y no sólo malware. Se dice que la mitad del phishing mundial está alojado impunemente en alguno de sus servidores.
En los últimos años no es fácil encontrar un incidente criminal a gran escala en la que no aparezcan por algún sitio las siglas RBN (o «TooCoin» o «ValueDot», nombres anteriores con los que ha sido conocida). En 2005 se estaba aprovechando de forma masiva una vulnerabilidad en Internet Explorer para instalar un keylogger. Se demostró que la mayoría de datos robados iban a parar a un servidor de la RBN. Los servidores de la RBN estaban detrás del incidente contra la HostGator en 2006. Aprovechando un fallo en Cpanel, consiguieron tener acceso a cientos de webs de la compañía. En 2007, la empresa de hosting gratuito IPOWER también fue atacada y se instalaron en sus páginas «frames» que de forma transparente redirigían a sitios en la RBN donde se intentaban instalar troyanos. Malware como Gozi, Grab, Metaphisher, Ordergun, Pinch, Rustock, Snatch, Torpig… todos se han servido de los servidores de la RBN para «alojarse» o alojar datos. Los ejemplos son muchos y variados. Mpack la herramienta usada en varios ataques masivos durante 2007, es vendida desde uno de los servidores de la RBN.
Ante tanta evidencia, son muchos los administradores que han decidido bloquear por completo el acceso a los servidores alojados en la RBN. Pero no ha servido de mucho. Han aprendido a enrutar las conexiones a través de otras webs comprometidas en Estados Unidos y Europa de forma que, aunque sea dando un rodeo a través de otras IPs (habitualmente usuarios residenciales troyanizados o webs atacadas), siguen operando de forma normal. Por ejemplo, en el reciente ataque al Banco de la India, al seguir el rastro del malware que se intentaba instalar en los sistemas Windows que visitaban la web, se observó que tras pasar la información a través de varios servidores, finalmente acababa en un servidor de la RBN.
Tras las acusaciones publicadas en el Washinton Post, un tal Tim Jaret que decía pertenecer a la RBN lo negaba todo. Decía que no podía entender por qué se le acusaba basándose en suposiciones. El tal Jaret incluso se queja de que intentó colaborar con el grupo antispam Spamhaus (que tiene continuamente bloqueadas nada menos que más de 2.000 direcciones IP de la RBN clasificadas como origen de correo basura) sin éxito.
En SANS Internet Storm Center tienen una clara opinión al respecto, no van a tirar piedras sobre su tejado. Y es que según Verisign, la RBN cobra hasta 600 dólares mensuales por un alojamiento «a prueba de balas» lo que en este caso significa que no cederá a presiones legales ni será cerrado por muy inapropiado o «infeccioso» que sea su contenido. Aun así, el tal Jaret afirma que la RBN tiene el nivel de «criminalidad» habitual en cualquier proveedor web, y que habitualmente cierra las webs en menos de 24 horas, facilitando el trabajo a los profesionales de la seguridad. Sin embargo, es posible que la única acción de la RBN cuando recibe presiones para cerrar un sitio web, sea aumentar el «alquiler» a los delincuentes que se basan en ella para operar.
Por último, se le pidió al tal Jaret que ofreciera nombres de usuarios legítimos de sus redes, y contestó que razones legales se lo impedían.
La RBN (rusa, cómo la gran escuela creadora del malware 2.0) se ha convertido así en cómplice y centro de operaciones web para la industria del malware, que encuentra un aliado que sabe mantener la boca cerrada y las manos quietas si se le paga lo suficiente. Symantec lo llama «el refugio para todo tipo de actividades ilegales en la Red».
Por si queda alguna duda sobre su intención de permanecer «anónimos», basta con comprobar hacia qué IP apunta su dominio principal rbnnetwork.com
ssantos@hispasec.com
Más información:
Mapping the Russian Business Network
http://blog.washingtonpost.com/securityfix/2007/10/mapping_the_russian_business_n.html
Taking on the Russian Business Network
http://blog.washingtonpost.com/securityfix/2007/10/mapping_the_russian_business_n.html?nav=rss_blog
The Russian Business Network Responds
http://blog.washingtonpost.com/securityfix/2007/10/russian_business_network_respo.html?nav=rss_blog
01/09/2007 El Banco de la India, foco (involuntario) de infección
http://www.hispasec.com/unaaldia/3235
I would like to thank an owner of this blog for sharing this with us. This news is very important for those people who are attached or connected with this Russian business network.