Historia de un ataque de spam que casi acaba con medio Internet
La última noticia aparecida tiene bastante que ver con el poder y con la capacidad de hacer temblar la red de redes. Sus protagonistas no son militares ni servicios de inteligencia, son empresas y negocios. Por un lado Spamhaus, uno de los servicios líderes contra el spam que lucha elaborando listas negras que usan la mayoría de sistemas antispam, y por otro lado tenemos el servicio de hosting Cyberbunker. Un servicio que no es excesivamente riguroso con la legalidad de lo que sus clientes hacen o almacenan, siempre y cuando no se trate de terrorismo o pornografía infantil.
El ataque
Todo empieza la semana pasada, cuando Spamhaus requiere de los servicios de Cloudflare, una empresa dedicada entre otras cosas a ayudar a otros negocios a mitigar ataques. El motivo: Spamhaus recibe un ataque constante de 10Gb/s del que pasa a hacerse cargo Cloudflare para evitar así la carga que supone este ataque en los servidores del servicio antispam. Hasta ahí nada extraordinario, pasan los días y el ataque no tiene el efecto deseado por parte de los atacantes.
Pero evidentemente, al ver que sus ataques no tienen efecto, se intensifican y se hacen más potentes. Tanto que al final el tráfico era de 300Gb/s, un volumen y una diversificación que hizo que el ataque tuviera un efecto bastante devastador y que llegara a afectar a la velocidad de los usuarios de algunas zonas de la capital inglesa en la navegación ya que el ataque alcanzó a uno de los puntos neutros en Londres. Por suerte se pudo neutralizar el error de configuración que afectaba al punto neutro en cuestión y no ha habido más consecuencias. Por el momento.
El ataque ha puesto de manifiesto que existen todavía modos de poder dejar fuera de combate ya sean servicios como parte de la red en sí, un tráfico tan grande es difícil de absorber y puede arrollar sistemas como un tsunami de bits. Y lo que es peor, que el conocimiento y la capacidad de daño no siempre está del lado correcto.
¿Por qué y quien?
Igual que se suele hacer en cualquier investigación policial, averiguar qué enemigos puede tener la víctima en este caso nos daría una larga lista. Teniendo en cuenta los asuntos a los que se dedica Spamhaus no tiene demasiada buena reputación entre el gremio de los spammers.
Y uno de esos grupos que se dedican profesionalmente al spam, entre otros negocios poco éticos, es la Russian Bussiness Network. Una especie de grupo legalmente constituido pero que está formada por auténticos expertos en cibercrimen. Erradicada por el FBI de forma oficial, parece pervivir en una especie de asociación que opera en China aunque en menor escala. Y su sede principal en el mundo virtual es CyberBunker.
La Russian Bussiness Network es bien conocida por una de sus líneas de negocio que tuvo mucho éxito durante un tiempo, los programas supuestamente anti-malware que se instalaban en tu ordenador alertándote de que tenías virus y que si querías eliminarlos tenías que pagar la versión Pro. L
Spamhaus estuvo presionando sin demasiado éxito al proveedor de servicios de Cyberbunker para que lo desconectara, cosa que no hizo. Como medida de presión definitiva Spamhaus incluyó en su lista negra a todos los dominios que albergaba el proveedor. Un auténtico desastre para un proveedor de Internet y hosting. Así que no le quedó otra que ceder y desconectar a Cyberbunker. El tema quedó en el olvido hasta que recientemente de nuevo Spamhaus volvía a meter a Cyberbunker en lista negra. Y ahí empezaron los ataques.
No es casualidad, y la confirmación de quien estaba detrás llegaba a través del New York Times, al que se dirigió un portavoz del polémico paraíso de datos para reclamar la autoría del ataque diciendo que era una represalia. Luego en una entrevista para Russia Today se reafirmaría en sus palabras.
Como veis parece toda una trama de película, pero es la pura realidad. Internet es muy grande, y hay cabida para todo tipo de negocios, y esto incluye los menos lícitos. Como ya vimos en el mapa de ciberataques, cada vez son más los equipos que quedan zombis por no estar actualizados debidamente, protegidos o configurados con mayor seguridad que la que viene por defecto. Un problema que no sólo afecta a equipos de escritorio de particulares, si no que también existen servidores albergados en centros de procesos de datos que caen en las redes de este tipo de organizaciones.
De ahí que haya esa capacidad de producir ataques con tanto volumen de información, capaces de saturar lo que parece imposible. Internet es un mundo peligroso, y hay que estar preparado y protegido. Aunque no nos toque directamente, este tipo de ataques puede llegar a suponer un problema global. Internet es un mundo peligroso ¿no te parece?
Tenéis más información de cómo se ha producido en Security By Default, un excelente blog de seguridad el cual hemos usado como fuente para este artículo.