Poichè dopo questa mia di qualche giorno fa le cose si sono ulteriormente mosse, torno a scrivere sulla faccenda wikileaks.info, stavolta riassumendo il tutto partendo da zero, per chi si fosse perso le puntate precedenti.
Come ben noto ai più, poco dopo l’inizio della diffusione dei famigerati “cables”, wikileaks.org sparì dalla rete a seguito dei DDoS in direzione di EveryDNS e della decisione di questi ultimi di terminare l’erogazione del servizio. Wikileaks iniziò pertanto a pubblicizzare come proprio sito istituzionale il dominio wikileaks.ch, che tutt’ora sta proseguendo nel rilascio di documenti riservati, insieme a parecchi mirror sui domini più vari.
Da pochi giorni, wikileaks.org pare invece essere resuscitato e redirige ora a http://mirror.wikileaks.info.
Quest’ultimo dominio appare quantomeno sospetto, per svariate ragioni:
- wikileaks.info non risulta elencato tra i mirror ufficiali di wikileaks nella pagina ove questi vengono elencati; ivi appare, invece, il dominio wikileaks2.info, il che lascia supporre che wikileaks.info non fosse disponibile all’atto della “moltiplicazione dei siti” operata allo scopo di mantenere in vita il progetto
- i contenuti di wikileaks.info appaiono notevolmente diversi da quelli proposti nei mirror ufficiali: liddove questi ultimi appaiono in tutto e per tutto uguali a wikileaks.ch, wikileaks.info appare come una copia datata dell’originale
- wikileaks.info è residente su una rete ben nota a chi si occupi di internet security, ovvero la rete di Webalta (92.241.160.0/19), realtà russa da svariato tempo al centro della diffusione di malware nonchè di operazioni di spam e di controllo botnet; più specificamente esso è residente su un netblock assegnato ad Heihachi (92.241.190.0/24) e lo stesso medesimo IP su cui sta wikileaks.info ospita anche siti utilizzati dalla criminalità informatica internazionale per la compravendita di carte di credito rubate e svariate altre operazioni “poco pulite“
- irc.anonops.net, al centro dei recenti DDoS portati avanti “in nome” di Wikileaks (pur senza il benestare di questa) risulta essere erogato dalla stessa rete blackhat ove risiede wikileaks.info, il che rende plausibile la presenza di qualche correlazione più o meno diretta tra le due realtà
Tutto ciò lascia supporre che dietro a wikileaks.info ci siano organizzazioni ed interessi quantomeno dubbi: chiunque sia del settore sa che reti come quella in cui si trova questo sito, lungi dall’essere “provider poco attenti alle malefatte degli utenti” sono in realtà letteralmente in mano alla criminalità organizzata, in cui organizzazioni criminali mantengono infrastrutture di hosting (cosiddetto bulletproof) specificamente destinate all’utilizzo da parte di altri criminali ai quali sono in grado di garantire, insieme con la fornitura tecnica, anche un certo livello di copertura dalle azioni di polizia, grazie a vere e proprie reti di corruzione.
In virtù della nota “malevolenza” di questa rete, comunque, l’intera /19 è da considerarsi “rete ad altissimo rischio” e perciò presente nella lista SBL mantenuta da Spamhaus fin dall’ottobre 2008.
In conseguenza della presenza di un apparente mirror di Wikileaks su questa rete, Spamhaus stessa ha rilasciato un comunicato pochi giorni fa, in cui invita chi fosse interessato a visionare i famosi documenti riservati ad affidarsi a wikileaks.ch e/o a uno dei mirror ufficiali da esso indicati e di diffidare, fino a prova contraria, di wikileaks.info, riguardo al quale non è tutt’ora stato possibile ottenere una dichiarazione da parte dello staff di WikiLeaks.
La cosa è evidentemente piaciuta poco a wikileaks.info tanto che, dopo aver rilasciato un comunicato nel quale si avanza la tesi secondo la quale Spamhaus agirebbe sulla base di ragioni politiche (comunicato peraltro presente su wikileaks.info ma di cui non vi è alcuna traccia su wikileaks.ch nè su alcuno dei mirror “veri”), a partire da stamattina il sito di Spamhaus è bersaglio di un DDoS apparentemente condotto dalla stessa AnonOps, al pari di quelli già visti ai danni di Visa, Paypal, etc.
Nonostante tale DDoS non sia molto diverso dagli attacchi a cui Spamhaus è più o meno giornalmente soggetta, la sua entità (tra i 2 e i 3 gigabit di traffico) rende il sito di Spamhaus di difficile consultazione, insieme con i warning da esso riportati e dei quali è opportuno che l’utenza sia informata in ogni modo possibile. Per riportare un estratto della succitata comunicazione di Spamhaus:
Currently wikileaks.info is serving highly sensitive leaked documents to the world, from a server fully controlled by Russian malware cybercriminals, to an audience that faithfully believes anything with a ‘Wikileaks’ logo on it.
Spamhaus continues to warn Wikileaks readers to make sure they are viewing and downloading documents only from an official Wikileaks mirror site. We’re not saying “don’t go to Wikileaks” we’re saying “Use the wikileaks.ch server instead”.
Resta tuttavia ancora da capire come e perchè il “vecchio dominio” di Wikileaks attualmente rediriga in direzione di una entità così dubbia.
Update 20/12/2010:
AnonOps in quanto “gruppo” nega di essere parte dell’attacco in corso ai danni di Spamhaus, ed una analisi della tipologia di traffico componente il DDoS sembrerebbe confermare, in quanto esso appare avere natura diversa da quello generato dal famigerato LOIC usato da AnonOps.
Pare inoltre che i membri di AnonOps stiano prendendo le distanze dai membri che hanno proposto (e reclutato) l’uso di botnet per affiancare LOIC nelle operazioni di DDoS portate avanti a nome del gruppo, e che potrebbero altresì avere un ruolo nel DDoS di cui sopra.
Skull's blog 