domingo, 24 de abril de 2022

Matrix: Del Spam 'de Mi Mismo' al Ciberfraude, Crímenes de Estados y Multinacionales

No se si tomármelo a bien y partirme de risa o a mal, pero me llegó este email a la papelera de spam. De inmediato quise compartirlo con vosotras.

A diario recibimos una tonelada de spam de las más diversas fuentes, pero nunca antes un spam como este: La tarcoteca recibe spam de si misma. Este es el punto de partida de una breve investigación. ¿Quién estaría detrás de tal maniobra? Os lo adelanto, vais a flipar. Yo flipé. Vamos a dar una vuelta por la Matrix.


Mientras que el spam tradicional se remite a través de una IP en bucle, cuyo emisor coincide con el receptor, la de víctima, el uso de propio email de la victima supone un salto cualitativo que llamó nuestra atención

Análisis de Metadatos

Esta es una captura del email en cuestión del 31.3.2022, donde se observan los elementos principales, pero hemos recibido muchos más:
Cuando creías que lo habías visto todo: Spam de tí misma

1 Se puede leer que yo mismo me lo envío a mi mismo y me marco como spam XDDD. Una autosuplantación.

2 La dirección de donde proviene esta basura es
https://storage.googleapis.com/satgob/Electronica.html

Tres elementos:
-googleapis.com
es un sistema de interfaz google, generalmente para móviles

-satgob
es la dirección falsa de la hacienda mexicana; la correcta es sat.gob

-Electronica.html
formulario general para la emisión de facturas electrónicas.
La dirección no lleva a ninguna web, es un camino muerto.

3 la factura (en verde) tiene el número de referencia "Factura "176290353-1/1", lo cual no es reconocido por ninguna agencia, pero usa el formato usado por el gobierno de España https://face.gob.es/es y CNMV de España.

'Neo' adentrándose en la madriguera
'Neo' adentrándose en la madriguera

Vamos al mejunjillo, analizando los metadatos aportados por el email en el Header.

4 El Header, encabezado del email, donde vienen los metadatos, aquí os dejo copy-paste, en rojo los elementos que vamos a investigar:
Return-Path: <www-data@niubbadzcl.atacadaoroupasmx.com>
Delivered-To: tarcoteca@riseup.net
Received: from mx1.riseup.net (mx1-pn.riseup.net [10.0.1.33])
    (using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits)
    key-exchange X25519 server-signature RSA-PSS (2048 bits) server-digest SHA256
    client-signature RSA-PSS (2048 bits) client-digest SHA256)
    (Client CN "mx1.riseup.net", Issuer "R3" (not verified))
    by spoonbill.riseup.net (Postfix) with ESMTPS id 4KTlHJ5kfQz68
    for <tarcoteca@riseup.net>; Thu, 31 Mar 2022 06:57:32 -0700 (PDT)
Received: from niubbadzcl.atacadaoroupasmx.com (niubbadzcl.atacadaoroupasmx.com [94.198.54.198])
    (using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits)
    key-exchange X25519 server-signature RSA-PSS (2048 bits) server-digest SHA256)
    (Client did not present a certificate)
    by mx1.riseup.net (Postfix) with ESMTPS id 4KTlHH1mJczDq6T
    for <tarcoteca@riseup.net>; Thu, 31 Mar 2022 06:57:31 -0700 (PDT)
Received: by niubbadzcl.atacadaoroupasmx.com (Postfix, from userid 33)
    id E6C5D232ED; Thu, 31 Mar 2022 16:57:22 +0300 (MSK)
To: tarcoteca@riseup.net
Subject: Estimado Cliente Factura para el pago (63433)
MIME-Version: 1.0
Content-type: text/html; charset=utf-8
X-Mailer: Microsoft Office Outlook, Build 17.551210
Content-Transfer-encoding: 8bit
From: tarcoteca@riseup.net
Reply-To: tarcoteca@riseup.net
X-Mailer: iGMail [www.ig.com.br]
X-Originating-Email: tarcoteca@riseup.net
X-Sender: tarcoteca@riseup.net

X-iGspam-global: Unsure, spamicity=0.570081 - pe=5.74e-01 - pf=0.574081 - pg=0.574081
Message-Id: <20220331135722.E6C5D232ED@niubbadzcl.atacadaoroupasmx.com>
Date: Thu, 31 Mar 2022 16:57:22 +0300 (MSK)

Detalles

-https://mx1.riseup.net/
Punto de entrada del spam en el servidor de riseup.

-spoonbill.riseup.net
Posible gestor de servidor riseup.

-niubbadzcl
No rastreable

-atacadaoroupasmx.com
Remite a una página que proporciona dominios para spameo https://allthecom.info/11/18/

-94.198.54.198
IP de origen del ataque. Es el punto principal de nuestra pequeña investigación.

- Subject: Dear Customer Invoice for payment (63433)
La búsqueda nos remite a denuncias de acoso de la OSI por correos y spam de 2017

-iGmail
Protocolo de acceso iMAPv4 utilizado para enviar el spam a través de una cuenta de gmail.

-www.ig.com.br
Proveedor del servicio mail usado para enviar el spam, una copia de mala calidad de yahoo para Brasil.

-X-Originating-Email - tarcoteca@riseup.net
Generalmente debería mostrarse una IP que debería conducir a la IP de la propia víctima; se encubre la IP de origen con un bucle. En este caso esta IP se sustituye por una dirección email, por lo que creemos que los datos han sido extraídos del servidor de riseup.net.

-X-Sender: tarcoteca@riseup.net - Idem

-X-iGspam-global
Elemento no identificado pero de uso habitual en suplantaciones.

-spamicity
Remite a la falsa web de antispam https://spamicity.info/, encargada de proveer servicios antispam, mientras es el origen de los mismos.

Seguro que se le puede sacar más partido, pero nuestro kung fu solo da para esto.

Rastreo IP - 94.198.54.198

Haciendo un rastreo inverso en Ipeleak.net tenemos un resultado: Estonia 

Y a través de https://www.cual-es-mi-ip.net/geolocalizar-ip-mapa sabemos que la ip se localiza en Tallinn. 

A continuación imagen de capturas con los resultados del rastreo:

Si buscamos la IP en:
>https://dnschecker.org/ip-whois-lookup.php?query=94.198.54.198
"role: Smartape NOC Team
address: ESTONIA
Address: Tallinn
address: 10151
Address: Ahtri 12
phone: +3726991543"
Obtenemos 2 elementos a investigar a) nombre de la empresa proveedora del servicio, b) su teléfono

a)Si buscamos "Smartape NOC Team" en google el primer enlace:
>https://myip.ms/info/whois/188.127.228.137/k/2562931630/website/www.7tv.ru
"IP Owner: Smartape Noc Team
Owner Full IP Range:
188.127.228.0 - 188.127.228.255
Owner Address: Estonia, Tallinn, 10151, Ahtri 12
Owner Country: Russia
OwnerPhone: +3726991543
Owner Website: www.acmespb.ru"
Observamos que nombre de empresa y teléfono coinciden. La dirección del negocio está en Estonia pero su propietario reside en Rusia.

b)Si buscamo el tlf +3726991543:
>https://www.ripe.net/membership/indices/data/ee.smartape.html
"SmartApe OU
Ahtri 12
10151 Tallinn
ESTONIA
phone: +3726991543
fax:
e-mail: info (at) smartape (dot) net
Serviced Areas: CZ"
Obtenemos el nombre comercial del grupo que dirige la empresa, SmartApe OU, que vamos a buscar como c)

c) Si buscamos SmartApe OU en google:
>https://www.smartape.net/contacts
"Company name SmartApe OÜ
Registry code 16124388
VAT number EE102329731
Legal form Private limited company
Legal address Harju maakond, Tallinn, Kesklinna linnaosa, Ahtri tn 12, 10151, Estonia
Mailing address Ahtri 12 (Attn: E-Residency HUB OÜ), Tallinn 10151, Estonia
IBAN BE02 9671 7398 6640
SWIFT/BIC TRWIBEB1XXX"
SmartApe es una empresa de hospedamiento de webs. Un poco cara, por cierto.
Obtenemos los datos legales de la empresa, una Sociedad Limitada. Vamos a buscar su negocio para obtener datos de los propietarios en d).

d) Si buscamos SmartApe OU en google:
>https://www.dnb.com/business-directory/company-profiles.smartape_ou.95a6d2a3ee08ef7ff2100718e1ae379b.html
"Company Description: SMARTAPE OU is located in Estonia and is part of the Data Processing, Hosting, and Related Services Industry. SMARTAPE OU has 2 total employees across all of its locations and generates $160,174 in sales (USD). (Employees and Sales figures are modelled).
Key Principal: Mark Tepterev See more contacts
Industry: Data Processing, Hosting, and Related Services , Information , Data processing and preparation"
Premio: Descripción de la empresa: SMARTAPE OU se encuentra en Estonia y forma parte de la industria de procesamiento de datos, alojamiento y servicios relacionados. SMARTAPE OU tiene 2 empleados en total en todas sus ubicaciones y genera $160,174 en ventas (USD). (Se modelan las cifras de Empleados y Ventas). Director clave: Mark Tepterev.
Ahí lo tenemos, una empresa de dos tipos que se forran con el hosting de spam y su director/dueño e)

e) Si buscamos Mark Tepterev en google: 
"Wanted for court service – Mark Tepterev and his Russian-Estonian hosting provider SmartApe | FinTelegram News" 6.2.2022: Requerido a Jucio - Mark Tepterev y su hospedador ruso-estonio proveedor de SmartApe.
Mark Tepterev


Seguimos tirando del hilo: los contactos

Si el seguimiento web es intrincado el seguimiento de los contactos personales es lo máximo. 

A Tepterev se le requiere penalmente por colaboración criminal con el israelí Gal Barak, conocido como el Lobo de Sofía, por proporcionarle el hosting para sus operaciones. 

Gal Barak, de origen Israelí y ascendente rabínico, dato fundamental para entender sus operaciones, fue condenado en septiembre de 2020 a 4 años de prisión en Viena por fraude de inversiones y blanqueo de capitales, por el robo de millones de euros a pensionistas de toda Europa, y ser el cabecilla de la organización de ciberdelincuencia 'E&G Bulgaria'. Gal Barak asegura que el es solo una pieza en el engranaje de estafa y blanqueo organizado, y que fue usado de cabeza de turco. 

La diversificación de E&G Bulgaria llevó a la organización a montar varias plataformas de sustracción de fondos entornos al mercado internacinal de oro, el Forex: OptionsStars, xTraderFX, OptionStarsGlobal, o GoldenMarkets. ¿Como lo hiceron? Con un entramado internacional diversificado que incluía operaciones legales, alegales e ilegales, y que incluía desde funcionarios del estado colaboradores, a extorsiones y estafas. Esta mafia E&G Bulgara se organizaba alrededor del gobierno búlgaro de información reservada por medio del financiamiento de grupos ultraortodoxos israelíes, en concreto su propio padre, como donantes de políticos, y en concreto de Boyko Borisov, antiguo  presidente de Bulgaria. 

Se da la Circunstancia que a parte de ser fascista, Borisov fue Jefe de Policía en Sofía y en 1991 funda su propia empresa de seguridad privada,  WON-1 Ltd. Según la propia wikipedia "es considerado la "piedra angular de los excesos mafiosos del país".  Entre sus múltiples tareas, Gal Barak hacía las veces de correo aportando generosas cantidades a estos políticos corruptos búlgaros. Todo empieza a cuadrar.


Estos son solo algunos hallazgos, pero lo que realmente asusta es lo que no se sabe pero se intuye.

En este punto abandonamos la conejera. Empezamos con un miserable spam-email y acabamos con una trama de ciberdelincuencia internacional que implica a los israelíes y al presidente de Bulgaria. No está mal para un post.

Epílogo

Los metadatos apuntan que el uso del email como origen del spam ha sido producido a través del propio servidor de riseup. Desconocemos el alcance de este tipo de spam, o si interfiere en el proveedor de servicios de internet, el hecho ya se ha puesto en conocimiento de la plataforma.

Ni con 1 millón de envíos conseguirían un solo cliente ¿Tantas molestias para que un Spam acabe en la papelera? ¿Un spam vacío que no genera tráfico a página alguna? ¿Un intento de scooping, fisgoneo, en la red riseup? 

Mark Tepterev sigue en búsqueda y captura a día de hoy. Gal Barak sigue intentando intercambiar información por impunidad. 

Lo que se intuye

No es un email o un simple spam, es la infraestructura que lo soporta, desde el servidor, hosting, proveedor, diseñador, web master, financiador, los registros, la campaña, los suministradores de datos, los mineros y credenciales... Es un sistema periférico al sistema de mercado mundial, que usa básicamente sus mismos canales y medios y que solo en algunos puntos divergen de la legalidad. Sus actores se sitúan en una delgada cuerda floja de la que suelen caer por avaricia. Una avaricia que acaba arrastrando un sinfín de empresas y organizaciones que se ven salpicada en su caída. 

Est tipo de maniobras ciberdelincuentes ocurren en todos los lugares y todo momento. Recordar por ejemplo lo ocurrió en su momento, en otro contesto, con el Caso Pitiusa 2012 en España, el mayor caso de ciberdelincuencia de Europa. Un caso de corrupción transversal con 70 detenidos desde policías a inspectoresde hacienda, empresarios, políticos, y que apuntaba l propio Jorge Fernandez Díaz, Ministro de Interior, y que fue contenida y neutralizada por los ministerios y juzgados. Es la zona gris de combate de la Guerra Mundial Híbrida.

Este comportamiento criminal de supuestas empresas de ciberseguridad ha sido numerosas veces denunciado. Recordamos por ejemplo esa cantidad de 'antivirus que infectan' nuestros ordenadores como el virus 95p.com y Kaspersky -TDSSKille ejemplos hay miles. 

También cómo directores de supuestos empresas de seguridad se dedican a la estafa masiva mientras se pasean por los ministerios y toman cargos en las estructuras de los estados. El hacker de este tipo más conocido por nosotros fue Matias Bebilacqua, director de CFLabs, que después de verse involucrado en el mencionado caso, fue nombrado director de Centro Nacional de Ciberseguridad en 2012.

Como Reflexión final decir que no nos esperábamos este desenlace involucrando a la mafia trasnacional. Una mafia que permea mercados negros, grises y blancos, como el del Forex, y que llega a todos los rincones del planeta. Una excrecencia del sistema económico internacional capaz de utilizar y mezclar todas sus herramientas al alcance con tal de conseguir beneficios. Unos beneficios vacíos, ya que la riqueza generada es tal que no existe capacidad humana para ser gastada. Ni si quiera sabiamente empleada. La única misión de esta riqueza vacía es conseguir más riqueza vacía, carente de sentido; la acumulación por la acumulación.

Salud! PHkl/tctca

__________

Para Saber más

4 comentarios:

  1. Todo mal, tanto trabajo para nada. La culpa es de Putín, que parece mentira que no se sepa a estas alturas. ;)

    Salud!

    ResponderEliminar
    Respuestas
    1. No sé si de Putin, pero de Borisov seguro.
      Salud!

      Eliminar
    2. Sr. Pablo H., pensé que le gustaría saber que hay un artículo de Cinthia Choung, en strategic-culture.org, dedicado exclusivamente a la operación gladio. Que disfrute!

      Eliminar
    3. Gracias por el link, a Cynthia le han censurado varias publicaciones. Las actividades fascistas después de la 2GM no cesaron. El ejército de ocupación se mantiene en toda Europa. Salud! PHkl/tctca

      Eliminar

Tu opinión es importante