Esta publicación, destinada a este sitio, apareció originalmente en mi blog debido a un ataque DDoS paralizante. Lea las actualizaciones sobre Rosneft al final de la publicación. Estuvo ocupado la semana pasada. Mientras conversaba con una fuente en Caracas el lunes pasado, noté que este sitio no funcionaba. Pregunté a mi proveedor de alojamiento web (gracias a la excelente gente de LeaseWeb) y me informaron que, otro ataque DDoS, se había lanzado contra nosotros. Esta es la tercera vez que se dirige un ataque DDoS a mis sitios web: una vez en vcrisis.com y dos veces en infodio.com.
Debo preguntarme, por supuesto, por las razones. ¿Por qué alguien trataría de evitar que el público en general conozca las cosas que publico aquí? ¿Es porque exponemos la corrupción desenfrenada de Venezuela? Para los que todavía no se han enterado de la situación, Venezuela es un país de habla hispana, de unos 30 millones. Es, después de 17 años de gobierno chavista, una nación fallida en el sentido más amplio del término. Pero este sitio no atiende a un público venezolano. Busca informar al mundo en general acerca de quién es quién en la boliburguesía, una nueva clase de ‘hombres de negocios’ extremadamente rica y, igualmente, extremadamente inepta que solo pudo formarse bajo la sombra de la llamada revolución socialista de Hugo Chávez. Hablamos de los Alejandro Betancourt de este mundo, los Juan Carlos Escotet, los Victor Vargas, los Luis Obertos… investigamos el origen de sus riquezas recién descubiertas, rastreamos sus operaciones a través de muchos diferentes jurisdicciones, desenmascaramos a quienes los habilitan, ayudan e instigan, como Adam Kaufmann y Glenn Simpson, los Al Cárdenas, o incluso Baltazar Garzón, destapamos sus tratos, en África, Europa, Rusia, Asia, en suma, arrojamos un rayo de sol en su inframundo opaco.
Por lo tanto, es de esperar que tal trabajo atraiga la ira de matones desagradables y criminales, pero extremadamente ingeniosos (el dinero sucio es bienvenido por todos en todas partes hoy en día). Tratar con este lote nos expone a vendettas muy peligrosas. Operan en un mundo sin fronteras/barreras de inmigración. Recorren el mundo en sus propios jets privados: un día tienen a Heston Blumenthal cocinando para ellos, al siguiente están en St. Barths pasando el rato con Roman Abramovich, y el tercer encuentro con ex hackers del WSJ, ex Manhattan fiscales y líderes del Partido Republicano de Estados Unidos, cuando no retozan con lo mejor de Sloanes en Londres. Su alcance tampoco conoce limitaciones. Una redada en Londres se puede organizar fácilmente desde Caracas, sin preocuparse de que lo atrapen. Ese es el tipo con el que trata este sitio.
Lo último viene de Rusia, o más concretamente, una dirección IP controlada desde Rusia (191.96.249.70). Una vulnerabilidad en la plataforma de blogs WordPress permite utilizar el método pingback para lanzar ataques DDoS (explicación aquí). Básicamente, alguien hace uso de esa vulnerabilidad para hacer ping a un sitio web de destino. Al revisar los registros de mi servidor, noté el siguiente patrón:
«GET/HTTP/1.1» 200 32295 «http://infodio.com/» «WordPress/4.7.2; https://www.customescaperoom.com; verificando pingback desde 191.96.249.70»
«GET/HTTP/1.1» 200 32293 «http://infodio.com/» «WordPress/4.6.3; http://www.toptasting.com; verificando pingback desde 191.96.249.70»
«GET/HTTP/1.0» 200 145833 «-» «WordPress/4.0.15; http://wisecleaner.online; verificando pingback desde 191.96.249.70»
Cuando esa solicitud se repite miles de veces por segundo, los servidores tienden a colapsar debido al aumento del tráfico, como fue el caso mío. Miles de solicitudes de este tipo, así como solicitudes POST y HEAD, se lanzaron desde servidores de todo el mundo.
Sin embargo, la IP 191.96.249.70, como todas las demás, está asociada a un proveedor de host, en este caso DMZHOST.CO. Dicho dominio, como todos los demás, está a su vez registrado por una persona, en algún lugar, en este caso Christian P, con una dirección en Seychelles muy similar a la de Mossack Fonseca (Oliaji Trade Centre, Francis Rachel Street, Victoria Mahe, Seychelles ).
Cada dominio debe tener una persona u organización responsable. En el caso de DMZHOST.CO inicialmente tenía como responsable a Dmzhost Limited, pero parece haber pasado el control a JUPITER 25 LIMITED. Una búsqueda de Júpiter nos acerca a casa, a 35 Firs Avenue, N11 3NE, Londres, Reino Unido. Tenga en cuenta, en el último enlace, que hay un [email protected] como contacto para Júpiter. ¿Podría ser esta la misma persona que Christian P en las Seychelles?
Hay cientos de empresas registradas en 35 Firs Avenue. Según los datos de Companies House, Darren Symes es el director de Jupiter, Symes está asociado con más de 200 empresas. Otras personas que investigan ataques similares han dicho esto sobre DMZHOST en el pasado reciente:
Los proveedores de «alojamiento a prueba de balas» como DMZHOST proporcionan VPS que se anuncian como fuera del alcance de las fuerzas del orden occidentales. DMZHOST ofrece a sus clientes VPS «offshore» en un «búnker de privacidad de centro de datos seguro de Holanda» y «no almacena ninguna información / registro sobre la actividad del usuario». Al mismo tiempo, los términos de servicio de DMZHOST son igual de concisos. «DMZHOST no permite nada (relacionado) con el siguiente contenido: – DDos – Childporn – Exploit bancario – Terrorismo – NO NTP – NO correo electrónico SPAM».
La investigación adicional de IP 191.96.249.70 y Jupiter 25 Limited indica que sus servidores DNS están controlados por otra empresa con sede en Londres: Host1Plus. Este a su vez parece ser un nombre comercial de Digital Energy Technologies Ltd.
Los pagos de Bitcoin, que ocultan la identidad de los culpables finales, son fácilmente aceptados tanto por DMZHOST como por Host1Plus. Envié un tweet a Vincentas Grinius de Host1Plus, que fue respondido de la manera más ridícula para evitar lidiar con la pregunta DDoS real.
También envié una solicitud por correo electrónico a [email protected] y obtuve una respuesta casi inmediata,* solicitando registros. Chris envía correos electrónicos desde algún lugar de Pavia en Italia (93-36-187-144.ip61.fastwebnet.it). Afirma que el servidor utilizado para el ataque DDoS «ha sido cerrado», pero se niega a decir quién usó el servidor, quién contrató los servicios del servidor con su empresa, cómo le pagaron y se niega a proporcionar su identidad completa o la de su cliente. s. Si alguna vez se identifica por completo y brinda las explicaciones adecuadas sobre el uso de su plataforma para hacer ataques DDoS a este sitio*, agregaré sus comentarios aquí. en cuestión de minutos por una avalancha de spam (ver más abajo), que comenzó después de mi tercer correo electrónico a Chris. Así que el servidor «ha sido cerrado» bien, pero el ataque se ha transformado…
Aunque no todo ha sido malo. Justo después de que Brian Krebs sufriera el ataque DDoS más grande de la historia, recuerdo haber leído sobre cómo Google había acudido al rescate. A través de Twitter me puse en contacto con Nicholas Platt, productor de medios digitales de Jigsaw, una incubadora de tecnología de Alphabet (la empresa matriz de Google). Cuando comenzó el ataque DDoS, logré obtener una invitación para unirme a Project Shield, que es la plataforma de Google que derrotó a los atacantes de Krebs. Estaré eternamente agradecido por este acto de bondad, y a Ashish en Project Shield por guiarme a través de la configuración correcta. La gente de LeaseWeb, mi proveedor de alojamiento web, también debe recibir mi gratitud pública: en lugar de echarme -después de todo, el ataque causó muchas interrupciones y horas de trabajo para resolverlo-, Tom, Reece y Bagata mantuvieron la calma en holandés y fueron tremendamente servicial.
Los ladrones virtuales son cada día más descarados, aunque dudo seriamente que lleguen a alcanzar los niveles de potencia informática de Google. El lado positivo es que, debido al último ataque DDoS, ninguna cantidad de dinero venezolano robado podrá volver a desconectar este sitio. Aún está por determinar cuál de los matones normalmente expuestos aquí está detrás del último ataque, aunque seguiremos investigando, denunciando y arrojando luz sobre la corrupción y la boliburguesía. Los últimos hallazgos ponen fin a los contratos sin licitación otorgados a Derwick, los tratos sucios de Charles Henry de Beaumont con Oberto y otros matones en el Caribe, los vínculos directos entre los chavistas corruptos y sus contratistas preferidos, etc.
* Justo después de confrontar a [email protected] esta tarde, se relanzó el ataque DDoS contra infodio.com, con la ventaja añadida de una enorme avalancha de spam en mi bandeja de entrada. Chris afirma que ni él ni su empresa estuvieron detrás del ataque DDoS y agregó que «podría ayudarlo a mitigar TODOS los ataques. Tenemos experiencia en mitigar ataques ya que también recibimos muchos ataques»… (sic)
Investigaciones posteriores indican que el representante de Chris en el Reino Unido, Darren Symes, ha tenido un pasado colorido al frente de otros estafadores agrupados en Claremont Partnerships y Noble Rock Partners.
ACTUALIZADO 25.02.2017 13:38 GMT: Los registros de mi servidor brindan más pistas sobre la naturaleza del ataque. Las visitas de Project Shield comenzaron ayer por la mañana:
104.196.28.249 – – [24/feb/2017:10:26:29 +0100] «GET / HTTP/1.1» 200 146265 «-» «Mozilla/5.0 (compatible; ProjectShield-UrlCheck; +http://g. co/proyectoescudo)»
Esto continuó, más o menos ininterrumpidamente, hasta la tarde y se combinó con el rastreo por parte de los bots de Google, etc.:
35.184.90.184 – – [24/feb/2017:14:24:36 +0100] «GET/HTTP/1.1» 200 146265 «-» «Mozilla/5.0 (compatible; ProjectShield-UrlCheck; +http://g. co/proyectoescudo)»
Entonces sucedió esto:
104.155.70.96 – – [24/feb/2017:14:26:09 +0100] «GET/HTTP/1.1» 200 145833 «-» «WordPress/4.4.2; http://jazzjackrabbit.org; verificando el pingback de 191.96.249.54»
104.199.6.69 – – [24/feb/2017:14:26:09 +0100] «GET / HTTP/1.1» 200 32299 «http://infodio.com/» «WordPress/4.7.2; https:// www.virtualsunburn.com; verificando el pingback de 191.96.249.54»
104.199.61.249 – – [24/feb/2017:14:26:09 +0100] «GET/HTTP/1.1» 200 32299 «http://infodio.com/» «WordPress/4.6; http://pironsecurity. com; verificando el pingback desde 191.96.249.54»
A las 14:24, [email protected] envió un correo electrónico diciendo:
«No amenace ya que, para que quede claro, no somos quienes lanzamos el ataque. Y hemos tomado medidas inmediatas para suspender el servidor, por lo que legalmente hablando, estamos totalmente bien». (sic)
Pasaron unos dos minutos entre su «hablando legalmente, estamos totalmente bien» y el reinicio de DDoS y más avalancha de spam. Sin embargo, la IP había cambiado, de la anterior 191.96.249.70 a la 191.96.249.54, ambas controladas por su empresa DMZHOST.
Los encabezados de correo electrónico sugieren que su servidor de correo electrónico (mail.ru) está ubicado en una zona horaria GMT +0300 (Rusia) y luego lo enruta a través de Fastweb de Italia. Su navegador parece estar configurado en italiano y visitó algunos de mis sitios desde un servidor Fastweb aproximadamente al mismo tiempo.
Envié un correo electrónico a [email protected], sin embargo, tengo pocas expectativas de recibir una respuesta directa y adecuada. Agregado: finalmente recibí una respuesta de mail.ru, diciendo que [email protected] no es un usuario registrado, a pesar de la evidencia de lo contrario en el encabezado del correo electrónico.
El spam de mi bandeja de entrada continúa en serio: [email protected] no respondió mi último correo electrónico, supongo que no apreció mi confrontación con él y los detalles en esta publicación. Agregado: dos respuestas finalmente llegaron a mi bandeja de entrada durante el fin de semana, una de la dirección habitual @dmzhost.co y otra de [email protected]. Me puse en contacto con abuso en protonmail, para intentar corroborar la ubicación de IP desde donde se accede a la bandeja de entrada, pero no he recibido ninguna respuesta. Finalmente revelando su participación, Chris escribió:
SI ESTÁ RECIBIENDO ESTE CORREO ES PORQUE NO PODEMOS LLEGAR A USTED DESDE NUESTRO CORREO PRINCIPAL. Proporcione otro correo que no esté siendo spam… o una cuenta de Skype
Los ataques DDoS dirigidos al sitio seguían paralizando la funcionalidad y el acceso, con cinco interrupciones en los últimos siete días. Continúan los intentos de piratear el sitio…
Project Shield de Google (protegiendo mi sitio) también está protegiendo a este tipo que está exponiendo a los saqueadores de Venezuela https://t.co/GndJyeqSFT
— Briankrebs (@briankrebs) 28 de febrero de 2017
ACTUALIZACIÓN 01.03.2017 07:46 GMT: Mirando los detalles de latitud y longitud de las direcciones IP atacantes 191.96.249.70 y 191.96.249.54 en Google Maps, noté la ubicación de la sede central de Rosneft. Investigaciones posteriores revelan que Rosneft.ru tiene exactamente los mismos detalles de latitud y longitud que las direcciones IP desde donde se lanzaron los ataques DDoS contra mi sitio. Considerando las relaciones del chavismo con las empresas ‘estatales’ rusas, ¿no es una coincidencia extraordinaria?