Matrix: Del Spam 'de Mi Mismo' al Ciberfraude, Crímenes de Estados y Multinacionales

No se si tomármelo a bien y partirme de risa o a mal, pero me llegó este email a la papelera de spam. De inmediato quise compartirlo con vosotras.

A diario recibimos una tonelada de spam de las más diversas fuentes, pero nunca antes un spam como este: La tarcoteca recibe spam de si misma. Este es el punto de partida de una breve investigación. ¿Quién estaría detrás de tal maniobra? Os lo adelanto, vais a flipar. Yo flipé. Vamos a dar una vuelta por la Matrix.

Mientras que el spam tradicional se remite a través de una IP en bucle, cuyo emisor coincide con el receptor, la de víctima, el uso de propio email de la victima supone un salto cualitativo que llamó nuestra atención. 

Análisis de Metadatos

Esta es una captura del email en cuestión del 31.3.2022, donde se observan los elementos principales, pero hemos recibido muchos más:

1 Se puede leer que yo mismo me lo envío a mi mismo y me marco como spam XDDD. Una autosuplantación.

2 La dirección de donde proviene esta basura es

https://storage.googleapis.com/satgob/Electronica.html

Tres elementos:

-googleapis.com: 

es un sistema de interfaz google, generalmente para móviles

-satgob

es la dirección falsa de la hacienda mexicana; la correcta es sat.gob

-Electronica.html

formulario general para la emisión de facturas electrónicas.

La dirección no lleva a ninguna web, es un camino muerto.

3 la factura (en verde) tiene el número de referencia "Factura "176290353-1/1", lo cual no es reconocido por ninguna agencia, pero usa el formato usado por el gobierno de España https://face.gob.es/es y CNMV de España.

'Neo' adentrándose en la madriguera

Vamos al mejunjillo, analizando los metadatos aportados por el email en el Header.

4 El Header, encabezado del email, donde vienen los metadatos, aquí os dejo copy-paste, en rojo los elementos que vamos a investigar:

Return-Path: <www-data@niubbadzcl.atacadaoroupasmx.com>
Delivered-To: tarcoteca@riseup.net

Received: from mx1.riseup.net (mx1-pn.riseup.net [10.0.1.33])
    (using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits)
    key-exchange X25519 server-signature RSA-PSS (2048 bits) server-digest SHA256
    client-signature RSA-PSS (2048 bits) client-digest SHA256)
    (Client CN "mx1.riseup.net", Issuer "R3" (not verified))
    by spoonbill.riseup.net (Postfix) with ESMTPS id 4KTlHJ5kfQz68
    for <tarcoteca@riseup.net>; Thu, 31 Mar 2022 06:57:32 -0700 (PDT)
Received: from niubbadzcl.atacadaoroupasmx.com (niubbadzcl.atacadaoroupasmx.com [94.198.54.198])
    (using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits)
    key-exchange X25519 server-signature RSA-PSS (2048 bits) server-digest SHA256)
    (Client did not present a certificate)
    by mx1.riseup.net (Postfix) with ESMTPS id 4KTlHH1mJczDq6T
    for <tarcoteca@riseup.net>; Thu, 31 Mar 2022 06:57:31 -0700 (PDT)
Received: by niubbadzcl.atacadaoroupasmx.com (Postfix, from userid 33)
    id E6C5D232ED; Thu, 31 Mar 2022 16:57:22 +0300 (MSK)
To: tarcoteca@riseup.net
Subject: Estimado Cliente Factura para el pago (63433)
MIME-Version: 1.0
Content-type: text/html; charset=utf-8
X-Mailer: Microsoft Office Outlook, Build 17.551210
Content-Transfer-encoding: 8bit
From: tarcoteca@riseup.net
Reply-To: tarcoteca@riseup.net
X-Mailer: iGMail [www.ig.com.br]
X-Originating-Email: tarcoteca@riseup.net
X-Sender: tarcoteca@riseup.net
X-iGspam-global: Unsure, spamicity=0.570081 - pe=5.74e-01 - pf=0.574081 - pg=0.574081
Message-Id: <20220331135722.E6C5D232ED@niubbadzcl.atacadaoroupasmx.com>
Date: Thu, 31 Mar 2022 16:57:22 +0300 (MSK)

Detalles

-https://mx1.riseup.net/

Punto de entrada del spam en el servidor de riseup.

-spoonbill.riseup.net

Posible gestor de servidor riseup.

-niubbadzcl

No rastreable

-atacadaoroupasmx.com

Remite a una página que proporciona dominios para spameo https://allthecom.info/11/18/

-94.198.54.198

IP de origen del ataque. Es el punto principal de nuestra pequeña investigación.

- Subject: Dear Customer Invoice for payment (63433)

La búsqueda nos remite a denuncias de acoso de la OSI por correos y spam de 2017

-iGmail

Protocolo de acceso iMAPv4 utilizado para enviar el spam a través de una cuenta de gmail.

-www.ig.com.br

Proveedor del servicio mail usado para enviar el spam, una copia de mala calidad de yahoo para Brasil.

-X-Originating-Email - tarcoteca@riseup.net

Generalmente debería mostrarse una IP que debería conducir a la IP de la propia víctima; se encubre la IP de origen con un bucle. En este caso esta IP se sustituye por una dirección email, por lo que creemos que los datos han sido extraídos del servidor de riseup.net.

-X-Sender: tarcoteca@riseup.net - Idem

-X-iGspam-global

Elemento no identificado pero de uso habitual en suplantaciones.

-spamicity

Remite a la falsa web de antispam https://spamicity.info/, encargada de proveer servicios antispam, mientras es el origen de los mismos.

Seguro que se le puede sacar más partido, pero nuestro kung fu solo da para esto.

Rastreo IP - 94.198.54.198

Haciendo un rastreo inverso en Ipeleak.net tenemos un resultado: Estonia 

Y a través de https://www.cual-es-mi-ip.net/geolocalizar-ip-mapa sabemos que la ip se localiza en Tallinn. 

A continuación imagen de capturas con los resultados del rastreo:

Si buscamos la IP en:

>https://dnschecker.org/ip-whois-lookup.php?query=94.198.54.198

"role: Smartape NOC Team

address: ESTONIA

Address: Tallinn

address: 10151

Address: Ahtri 12

phone: +3726991543"

Obtenemos 2 elementos a investigar a) nombre de la empresa proveedora del servicio, b) su teléfono

a)Si buscamos "Smartape NOC Team" en google el primer enlace:

>https://myip.ms/info/whois/188.127.228.137/k/2562931630/website/www.7tv.ru

"IP Owner: Smartape Noc Team

Owner Full IP Range:

188.127.228.0 - 188.127.228.255

Owner Address: Estonia, Tallinn, 10151, Ahtri 12

Owner Country: Russia

OwnerPhone: +3726991543

Owner Website: www.acmespb.ru"

Observamos que nombre de empresa y teléfono coinciden. La dirección del negocio está en Estonia pero su propietario reside en Rusia.

b)Si buscamo el tlf +3726991543:

>https://www.ripe.net/membership/indices/data/ee.smartape.html

"SmartApe OU

Ahtri 12

10151 Tallinn

ESTONIA

phone: +3726991543

fax:

e-mail: info (at) smartape (dot) net

Serviced Areas: CZ"

Obtenemos el nombre comercial del grupo que dirige la empresa, SmartApe OU, que vamos a buscar como c)

c) Si buscamos SmartApe OU en google:

>https://www.smartape.net/contacts

"Company name SmartApe OÜ

Registry code 16124388

VAT number EE102329731

Legal form Private limited company

Legal address Harju maakond, Tallinn, Kesklinna linnaosa, Ahtri tn 12, 10151, Estonia

Mailing address Ahtri 12 (Attn: E-Residency HUB OÜ), Tallinn 10151, Estonia

IBAN BE02 9671 7398 6640

SWIFT/BIC TRWIBEB1XXX"

SmartApe es una empresa de hospedamiento de webs. Un poco cara, por cierto.

Obtenemos los datos legales de la empresa, una Sociedad Limitada. Vamos a buscar su negocio para obtener datos de los propietarios en d).

d) Si buscamos SmartApe OU en google:

>https://www.dnb.com/business-directory/company-profiles.smartape_ou.95a6d2a3ee08ef7ff2100718e1ae379b.html

"Company Description: SMARTAPE OU is located in Estonia and is part of the Data Processing, Hosting, and Related Services Industry. SMARTAPE OU has 2 total employees across all of its locations and generates $160,174 in sales (USD). (Employees and Sales figures are modelled).
Key Principal: Mark Tepterev See more contacts
Industry: Data Processing, Hosting, and Related Services , Information , Data processing and preparation"

Premio: Descripción de la empresa: SMARTAPE OU se encuentra en Estonia y forma parte de la industria de procesamiento de datos, alojamiento y servicios relacionados. SMARTAPE OU tiene 2 empleados en total en todas sus ubicaciones y genera $160,174 en ventas (USD). (Se modelan las cifras de Empleados y Ventas). Director clave: Mark Tepterev.

Ahí lo tenemos, una empresa de dos tipos que se forran con el hosting de spam y su director/dueño e)

e) Si buscamos Mark Tepterev en google: 

"Wanted for court service – Mark Tepterev and his Russian-Estonian hosting provider SmartApe | FinTelegram News" 6.2.2022: Requerido a Jucio - Mark Tepterev y su hospedador ruso-estonio proveedor de SmartApe.

Seguimos tirando del hilo: los contactos

Si el seguimiento web es intrincado el seguimiento de los contactos personales es lo máximo. 

A Tepterev se le requiere penalmente por colaboración criminal con el israelí Gal Barak, conocido como el Lobo de Sofía, por proporcionarle el hosting para sus operaciones. 

Gal Barak, de origen Israelí y ascendente rabínico, dato fundamental para entender sus operaciones, fue condenado en septiembre de 2020 a 4 años de prisión en Viena por fraude de inversiones y blanqueo de capitales, por el robo de millones de euros a pensionistas de toda Europa, y ser el cabecilla de la organización de ciberdelincuencia 'E&G Bulgaria'. Gal Barak asegura que el es solo una pieza en el engranaje de estafa y blanqueo organizado, y que fue usado de cabeza de turco. 

La diversificación de E&G Bulgaria llevó a la organización a montar varias plataformas de sustracción de fondos entornos al mercado internacinal de oro, el Forex: OptionsStars, xTraderFX, OptionStarsGlobal, o GoldenMarkets. ¿Como lo hiceron? Con un entramado internacional diversificado que incluía operaciones legales, alegales e ilegales, y que incluía desde funcionarios del estado colaboradores, a extorsiones y estafas. Esta mafia E&G Bulgara se organizaba alrededor del gobierno búlgaro de información reservada por medio del financiamiento de grupos ultraortodoxos israelíes, en concreto su propio padre, como donantes de políticos, y en concreto de Boyko Borisov, antiguo  presidente de Bulgaria. 

Se da la Circunstancia que a parte de ser fascista, Borisov fue Jefe de Policía en Sofía y en 1991 funda su propia empresa de seguridad privada,  WON-1 Ltd. Según la propia wikipedia "es considerado la "piedra angular de los excesos mafiosos del país".  Entre sus múltiples tareas, Gal Barak hacía las veces de correo aportando generosas cantidades a estos políticos corruptos búlgaros. Todo empieza a cuadrar.

"The Kosher Restaurant In Sofia Or Why Gal Barak Is Protected By Politicians And Rabbi | FinTelegram News" 3.5.2019

Estos son solo algunos hallazgos, pero lo que realmente asusta es lo que no se sabe pero se intuye.

En este punto abandonamos la conejera. Empezamos con un miserable spam-email y acabamos con una trama de ciberdelincuencia internacional que implica a los israelíes y al presidente de Bulgaria. No está mal para un post.

Epílogo

Los metadatos apuntan que el uso del email como origen del spam ha sido producido a través del propio servidor de riseup. Desconocemos el alcance de este tipo de spam, o si interfiere en el proveedor de servicios de internet, el hecho ya se ha puesto en conocimiento de la plataforma.

Ni con 1 millón de envíos conseguirían un solo cliente ¿Tantas molestias para que un Spam acabe en la papelera? ¿Un spam vacío que no genera tráfico a página alguna? ¿Un intento de scooping, fisgoneo, en la red riseup? 

Mark Tepterev sigue en búsqueda y captura a día de hoy. Gal Barak sigue intentando intercambiar información por impunidad. 

Lo que se intuye

No es un email o un simple spam, es la infraestructura que lo soporta, desde el servidor, hosting, proveedor, diseñador, web master, financiador, los registros, la campaña, los suministradores de datos, los mineros y credenciales... Es un sistema periférico al sistema de mercado mundial, que usa básicamente sus mismos canales y medios y que solo en algunos puntos divergen de la legalidad. Sus actores se sitúan en una delgada cuerda floja de la que suelen caer por avaricia. Una avaricia que acaba arrastrando un sinfín de empresas y organizaciones que se ven salpicada en su caída. 

Est tipo de maniobras ciberdelincuentes ocurren en todos los lugares y todo momento. Recordar por ejemplo lo ocurrió en su momento, en otro contesto, con el Caso Pitiusa 2012 en España, el mayor caso de ciberdelincuencia de Europa. Un caso de corrupción transversal con 70 detenidos desde policías a inspectoresde hacienda, empresarios, políticos, y que apuntaba l propio Jorge Fernandez Díaz, Ministro de Interior, y que fue contenida y neutralizada por los ministerios y juzgados. Es la zona gris de combate de la Guerra Mundial Híbrida.

Este comportamiento criminal de supuestas empresas de ciberseguridad ha sido numerosas veces denunciado. Recordamos por ejemplo esa cantidad de 'antivirus que infectan' nuestros ordenadores como el virus 95p.com y Kaspersky -TDSSKille ejemplos hay miles. 

También cómo directores de supuestos empresas de seguridad se dedican a la estafa masiva mientras se pasean por los ministerios y toman cargos en las estructuras de los estados. El hacker de este tipo más conocido por nosotros fue Matias Bebilacqua, director de CFLabs, que después de verse involucrado en el mencionado caso, fue nombrado director de Centro Nacional de Ciberseguridad en 2012.

Como Reflexión final decir que no nos esperábamos este desenlace involucrando a la mafia trasnacional. Una mafia que permea mercados negros, grises y blancos, como el del Forex, y que llega a todos los rincones del planeta. Una excrecencia del sistema económico internacional capaz de utilizar y mezclar todas sus herramientas al alcance con tal de conseguir beneficios. Unos beneficios vacíos, ya que la riqueza generada es tal que no existe capacidad humana para ser gastada. Ni si quiera sabiamente empleada. La única misión de esta riqueza vacía es conseguir más riqueza vacía, carente de sentido; la acumulación por la acumulación.

Salud! PHkl/tctca

__________

Para Saber más

Comunicado del 'Colectivo 325' sobre el Ataque Represivo a la Contra-Información Internacional - Defiende a las Anarquistas! 11.4.2021

Las estructuras de ciberseguridad de los estados al servicio de las empresas 27.3.2013

La Tarcoteca acosada por 95p.com o la miseria de los antivirus 28.1.2012