RBNNetwork - Information gathering ~ freeuser.org

Mi imbatto in un articolo qualche giorno fà in cui si parlava proprio di RBNNetwork

Se c'è un caso in cui la parola "cybercrimine" è particolarmente appropriata è quello in cui rientra la banda di bravi ragazzi telematici di Russian Business Network, il provider di servizi di rete che dall'antica città russa costituisce la testa di ponte di alcuni dei peggiori attacchi e minacce attualmente in circolazione su Internet.

Ne parla diffusamente il Washington Post, che in un articolo mette assieme le poche informazioni disponibili pubblicamente sull'organizzazione e qualche indiscrezione degli addetti ai lavori. La conclusione? Senza regolamentazioni legali sopranazionali forti, RBN non potrà che continuare a prosperare.

Sarà ma la mia oramai implacabile curiosità mi porta a vedere di che si tratta. Sarà mai che riesco a trovare un hosting decente ;)

Prendo i miei appunti di "information gathering", che un giorno di questi devrò passare in formato elettronico necessariamente, e comincio a farmi un pò i fatti di questi tizi.

Per prima cosa un bel ping al loro dominio ci sta più che bene

ma qualcosa mi dice che non sarà una strada percorribile.

Fantastico, semplicemnete superbo ... il loro dominio viene distribuito con redirezione su di un indirizzo di localhost 127.x.y.z, ok questi non sono stupidi! Ma non demordo giocano con i DNS? Bene!

Dig (un tool un programma)

#dig @dns.cineca.it rbnnetwork.com SOA

Siamo una rete universitaria no? Allora facciamola questa ricerca applicata...

; <<>> DiG 9.3.4 <<>> @dns.cineca.it rbnnetwork.com SOA
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58129
;; flags: qr rd ra; QUERY:1, ANSWER:1, AUTHORITY:2, ADDITIONAL:0
;; QUESTION SECTION:
;; rbnnetwork.com.              IN   SOA
;; ANSWER SECTION:

rbnnetwork.com.         3284    IN   SOA     ns1.rbnnetwork.com.
                                             support.rbnnetwork.com. 
;; AUTHORITY SECTION:
rbnnetwork.com.         3284    IN   NS      ns2.rbnnetwork.com.
rbnnetwork.com.         3284    IN   NS      ns1.rbnnetwork.com.
;; Query time: 16 msec
;; SERVER: 130.186.1.53#53(130.186.1.53)
;; WHEN: Wed Oct 17 15:33:17 2007
;; MSG SIZE  rcvd: 112

Perfetto, un DNS da qualche parte doveva pur rispondere, aggiungiamo un pò di magia (ANY al posto di SOA) alla query

rbnnetwork.com.  3600  IN  SOA  ns1.rbnnetwork.com.
                                support.rbnnetwork.com.
rbnnetwork.com.  3600  IN  NS   ns1.rbnnetwork.com.
rbnnetwork.com.  3600  IN  NS   ns2.rbnnetwork.com.
rbnnetwork.com.  3600  IN  TXT  "v=spf1 ip4:208.72.171.180 mx"
rbnnetwork.com.  3600  IN  MX   10 mail.rbnnetwork.com.
rbnnetwork.com.  3600  IN  A    127.0.0.1

Ops! I DNS sono come le portinaie sanno tutto.

Informazioni che ne tiriamo fuori:

presenza di due NS server (ns1, ns2) rispettivamente con IP 81.95.144.3, 81.95.145.3

con un reverse DNS (host -a $IP) scopriamo che 208.72.171.180 che fà riferimento a mail.4stat.org

scopriamo l'arcano del 127.0.0.1, si vede chiaramente che fa riferimento ad un campo A puntato sul dominio

mail.$DOMAIN e support.$DOMAIN puntano a 127.0.0.1 e sono tutti CNAME

Ora viene il bello. Finalmente siamo riusciti a tirare fuori da questo marasma degli indirizzi IP (molto vicini quindi presumibilmente appartenenti alla stessa assegnazione)

Whois (lasciamo all'immaginazione cosa fà)

#whois 81.95.144.3

Boom!

inetnum:   81.95.144.0 - 81.95.147.255
netname:   RBNET
descr:     RBusiness Network
admin-c:   RNR4-RIPE
tech-c:    RNR4-RIPE
mnt-by:    RBN-MNT
status:    ASSIGNED PA
country:   PA
remarks:   INFRA-AW
changed:   noc@rbnnetwork.com 20060620
source:    RIPE

Prime informazioni:

L'intera classe di indirizzi assegnati ai tizi per il dominio specificato, ottima informazione per cominciare un test perimetrale (host by host)

Finalmente la descizine dei tizi in questione (come se uno a questo punto non li conoscesse)

Country: PA? Uhm vedremo!

L'indirizzo email del NOC modificato nel giugno del 2006

...continua


role:       RBusiness Network Registry
address:    RBusiness Network
address:    The Century Tower Building
address:    Ricardo J. Alfari Avenue
address:    Panama City
address:    Republic of Panama
phone:      +1 401 369 8152
remarks:    Points of contact for RBusiness Network Operations
remarks:    ------------------------------------------------------
remarks:    Routing and peering issues:         noc@rbnnetwork.com
remarks:    SPAM and Network security issues: abuse@rbnnetwork.com
remarks:    Customer support:               support@rbnnetwork.com
remarks:    General information:               info@rbnnetwork.com
remarks:    ------------------------------------------------------
e-mail:     noc@rbnnetwork.com

continuiamo con le informazioni:

Capito il PA di prima? Il tutto risiede (almeno sulla carta) a Panama

La via corretta non è Alfari ma Alfaro (santo Google)

Un numero di telefono (appena ricarico skype faccio una prova)

Alcune email di contatto (fà ridere la report mail per lo spam abuse)

... continua

Finalmente gli admin-c ed i tech-c:

e-mail:    noc@rbnnetwork.com
admin-c:   JK4668-RIPE
tech-c:    JI424-RIPE
nic-hdl:   RNR4-RIPE
mnt-by:    RBN-MNT
changed:   support@rbnnetwork.com 20070304
source:    RIPE

Con qualche altra interrogazione ai database RIPE scopriamo che

JK4668-RIPE si chiama John Kerch(finto sicuramente) il suo numero di telefono è +1 401 369 8152 e risponde a questa mail ripe@rbnnetwork.com

JI424-RIPE si chaima Joseph Igopolo(finto anche lui?)il suo numero di telefono è +1 401 369 8152 (ma guarda un pò) e risponde a questa mail support@rbnnetwork.com (di sicuro un alias)

ancora ...

% Information related to '81.95.144.0/20AS40989
route:     81.95.144.0/20
descr:     TcS Network
origin:    AS40989
mnt-by:    RBN-MNT
changed:   support@rbnnetwork.com 20060608
source:    RIPE

Vediamo con ultima cosa che tutta "la baracca" ICT degli RBN sembra essere gestita dalla TcS Network che fà capo sempre alle stesse persone.

Riassumendo

Qualcuno s'è preso la bega di star dietro a questa associazione che, senza sbilanciarsi può definirsi, a delinquere:

The Russian Business Network (also known as RBN) is a Russian Internet Service Provider based in St. Petersburg which is notorious for its hosting of illegal and dubious businesses, including child pornography, phishing and malware distribution sites.^[1]

The RBN has been described as "the baddest of the bad". It offers web hosting services and internet access to all kinds of criminal and immoral activities, with individual activies earning up to $150m in one year. Businesses that take active stands against such attacks are sometimes targetted by denial of service attacks originating in the RBN network.^[2] RBN sells its services to these operations for $600 per month.^[1]

The business is difficult to trace. It is not a registered company, and its domains are registered to anonymous addresses. Its owners are known only by nicknames. It does not advertise, and trades only in untraceable electronic transactions.^[2]

Maggiori e più dettagliate informazioni qui

[digg=http://www.digg.com/security/RBNNetwork_Information_gathering_FreeUser_Binary_People]

3 commenti:

Wizo18 ottobre 2007 alle ore 14:15
Ottima analisi, come ti ho già detto ti vedo bene in un'agenzia investigativa :)
RispondiElimina
Risposte
Dario Santarelli18 ottobre 2007 alle ore 16:14
Io invece in una casa di cura per sistemisti in attesa che Neo venga a liberarti...
RispondiElimina
Risposte
Andrea18 ottobre 2007 alle ore 17:43
Non è vero Dario, non fare così. Sai che tutti noi dovremmo ringraziare la legge 180/78 perché ci ha resi liberi?! :)
RispondiElimina
Risposte

Aggiungi commento

freeuser.org

Popular Posts

Recent Posts

Pages

RBNNetwork - Information gathering

3 commenti: