Неуловимый RBN, или Дыра в дипломатии

Материал из CompromatWiki
Перейти к: навигация, поиск


Неуловимый RBN, или Дыра в дипломатии

Оригинал этого материала
© "Газета.Ру", origindate::15.11.2007, Фото: AbleStock/East News

Русские зомби-машины спрятались в сети

Ксения Гогитидзе

Converted 25544.jpg

Следы российской интернет-компании Russian Business Network (RBN), которую в западной прессе называют главным прибежищем киберпреступников, затерялись. Однако эксперты прогнозируют, что вскоре RBN даст о себе знать. Предполагается, что сеть пользуется поддержкой российских чиновников.

О российской интернет-сети Russian Business Network (RBN), предоставляющей выделенные серверы сомнительным клиентам для размещения их интернет-ресурсов, стало известно после опубликованного в прошлом месяце обширного расследования газеты The Washington Post, одной из первых обративших внимание на деятельность RBN. В четверг британская The Guardian вновь вспомнила о RBN, которая якобы временно прекратила работу.

Эксперты Team Cymru, компании, специализирующейся на исследованиях интернет-преступлений, считают, что российская фирма ответственна примерно за 60% всех киберпреступлений.

По сведениям специалистов по безопасности регистратора доменных имен компании Verisign, RBN зарегистрировалась как интернет-сайт в 2006 году. В момент создания компания еще могла считаться законной, однако впоследствии ее создатели, видимо, решив, что будет гораздо выгоднее предоставлять хостинг нелегальным структурам, начали сотрудничать с криминальными группировками.

Сейчас Verisign называет российскую компанию «худшей из плохих» и «полностью нелегальной». RBN считают источником распространения различного вредоносного ПО, вирусов, спама, детской порнографии. Ее клиентов обвиняют в фишинге (незаконном сборе защищенных данных) и в других кибер-преступлениях. Сеть предоставляет услуги так называемого «пуленепробиваемого» хостинга («bulletproof» hosting).

Это значит, что сайты компаний будут открыты, несмотря на любые попытки их прикрыть.

Подобная услуга недешева: по словам Брэдли Ансти из компании Marshall Software, специализирующейся на интернет-безопасности, в месяц за такую услугу придется заплатить около 300 фунтов стерлингов, что в 10 раз превышает стоимость обычного хостинга. Но RBN не испытывает недостатка в клиентах.

Однако сеть используется не только для размещения страниц компаний, опасающихся атак со стороны правоохранительных органов. С помощью сайтов, размещенных на серверах RBN, можно инфицировать и компьютеры обычных пользователей. Вредоносные программы внедряются в компьютер человека, зашедшего на преступный сайт. Далее его ПК превращается без ведома владельца в так называемый «зомби-компьютер», который используется как для кражи паролей и другой персональной информации его владельца, так и для секретной рассылки спама или проведения кибератак на другие компьютеры. Как утверждают специалисты, Russian Business Network ответственна за несколько громких преступлений, в том числе за взлом одного из индийских банков в сентябре.

По сведениям Verisign, одна из фишинг-групп Rock Group через сеть RBN похитила с банковских счетов в прошлом году $150 млн.

Ссылаясь на специалистов интернет-безопасности компании Symantec, The Washington Post писала, что киберпреступники поддерживают тесные связи с криминальным миром России и некоторыми чиновниками. Однако пока связаться с представителями RBN никому не удалось. По словам специалистов, у сети нет официального сайта и определить ее правовой статус невозможно. Желающие воспользоваться услугами компании выходят на связь с ней через интернет-мессенджеры или русскоязычные форумы. Оплачивать ее услуги нужно при помощи анонимных электронных переводов, цитирует The Washington Post Дона Джексона, специалиста SecureWorks.

Как пишет The Guardian вслед за другими западными СМИ, во главе RBN стоит ее 24-летний создатель, скрывающийся под ником Flyman. По информации британских газет, дядя Flyman – влиятельный российский политик. Однако его имя не называется.

Юристы считают, что прикрыть деятельность RBN непросто. Дело в том что сама по себе компания не нарушает закон: этим занимаются клиенты RBN. Кроме того, как отмечает заместитель директора юридической компании МАБ «Право и дело» Антон Исупов, такие сайты очень часто меняют площадки.

«Любой человек может разместить сайт на хостинге, а компании, которая предоставляет хостинг, трудно отслеживать, что там продается», – считает эксперт.

Осложняется проблема и тем, что в данном случае нет конкретных потерпевших, а скорее нарушаются абстрактные общественные интересы, говорит юрист «Магистр & партнеры» Павел Садовский: «В случае распространения контрафакта, нарушения авторских прав понятно, что есть правообладатели и потерпевшие. Здесь же в случае с порнографией, например, непонятно, кто потерпевший и кто заинтересованное лицо».

Правда, если найдется заинтересованное лицо, то можно найти способы воздействия, считает Садовский. Тогда можно будет запустить один из существующих механизмов привлечения к ответственности человека, совершившего преступление в отношении иностранного гражданина. «Если происходит какое-то правонарушение в отношение граждан другого государства, связанное с интернет-мошенничеством, российские органы по запросу правоохранительных органов зарубежных стран реагируют на подобные запросы и нередки случаи привлечения виновных к ответственности», – рассказывает юрист. Например, подобный случай произошел в Йошкар-Оле, когда группа мошенников создала фиктивный сайт брачного агентства и требовала у заинтересовавшихся клиентов переводить деньги в Россию, чтобы предполагаемая невеста могла к ним приехать.

По запросу обманутых иностранных женихов мошенников удалось найти и привлечь к уголовной ответственности.

Сейчас специалисты из антивирусной компании Trend Micro заметили, что следы RBN в интернете исчезли. Сотрудники Trend Micro однако не спешат радоваться, изъятие IP-адресов и временное исчезновение из сети может означать, что RBN решила передислоцироваться, например, в Китай, Тайвань или другие азиатские страны. RBN как сеть, предоставляющая как услуги хостинга, так и услуги доступа в интернет, вероятно, решила переехать на другие блоки IP-адресов.

RBN появится вновь, уверены эксперты. «Они слишком умны, и у них много денег», – говорит специалист Trend Micro Пол Фергюсон. «RBN ощущают политическую поддержку. Они платят многим людям. Они знают, что за ними следят. Они заметают следы», – отмечается в отчете Verisign.

***

Оригинал этого материала
© "Вебпланета", origindate::22.10.2007

Неуловимый RBN, или Дыра в дипломатии

Лиля Брин

Американская сказка

В середине октября газета Washington Post поведала миру о загадочном русском хостинг-провайдере Russian Business Network, который является самым популярным прибежищем для фишеров, спамеров, детских порнографов и всех остальных сетевых негодяев. RBN предоставляет им "пуленепробиваемый", то есть очень хорошо защищенный хостинг за 600 долларов в месяц.

Еще раньше, в августе-сентябре, по теме отбомбились The Economist и ZDNet. Все СМИ ссылались на отчеты VeriSign и исследования Spamhaus (второе интересней). Утверждалось, что данный хостинг для преступников находится в Петербурге, и даже под "крышей" российских чиновников. Однако никаких реальных имен и адресов не названо. Что неудивительно: RBN контактирует с клиентами только виртуальным путем, через почту и чаты.

На прошлой неделе журнал Wired рапортовал, что смог связаться с представителем этого "питерского" хостинга именно таким путем. Представитель с типичным русским именем "Тим Джарет" ответил журналу по емейлу - и отмел все обвинения.

Русская отмазка

Спустя пару дней издание Cnews (которое мы любим раз в месяц) опубликовало "разоблачительную" статью. В ней руководители различных российских интернет-компаний называли питерский хостинг RBN выдумкой. Аргументы чертовски веселы. Берем "Клубничную Маргариту" и читаем.

Андрей Кузнецов, техдиректор провайдера "Элтел", доказывает несуществование RBN через существование российской милиции:

"Отдел «К» быстро прикрывает сайты с детской порнографией, если узнает о них, и тут не требуется никаких обращений потерпевших. Более того, если о таких сайтах узнают телеком-провайдеры, они и сами блокируют к ним доступ".

Неплохо отжигает и глава питерского филиала хостинг-центра РБК Анастасия Бауэр. Она считает "нежизнеспособной" бизнес-модель виртуального сервиса RBN:

"Зачем "нехорошим" клиентам получать такие сложности и связываться с подобным хостером? На мой взгляд, размещать противозаконные материалы намного удобнее, создав ресурс на собственной площадке, чем связываться с кем-то через форум или ICQ".

Ну и самое прекрасное:

"Попытки CNews найти название компании RBN в Интернете показали, что все ее упоминания связаны либо с отчетом Verisign, либо с его цитированием в СМИ и блогах".

Еще более категоричную новость о несуществании RBN опубликовало издание Utro.ru. Тоже, мол, нету такого хостинга.

Похоже, у журналистов РБК проблемы с поисковым ликбезом. Моя первая же попытка найти RBN привела к истории про это самое Utro.ru, где летом на главной странице сидел вирус из той самой RBN. Подобные трояны, крадущие пароли, распространял летом даже главный сайт РБК. Здрасте, Настя.

Транспортная развязка

Если вы не нашли черную кошку в темной комнате - это не значит, что ее там нет. Давайте пока отложим версию о "вашингтонской выдумке" и для разнообразия представим, как должен быть устроен "пуленепробиваемый" хостинг. А он должен быть устроен именно так, как в этой истории - чтобы его как бы не было. Ну или хотя бы так: его не должны видеть определенные группы людей. Именно те, кто выше и отбомбился в новостях.

Нет, я не буду нудеть о хитростях трассировки. А лучше возьму вторую "Клубничную Маргариту" - и еще новости поцитирую. Вот французские полицейские на встрече с русскими обвиняют Россию в "одностороннем фишинге". Дескать, фишеры сидят у вас, а деньги крадут у наших. Странно вообще, что они сообщили об этом нашей милиции. Могли бы прямо к фишерам обратиться, как Анастасия Бауэр. Дескать, ребята, крадите деньги, не отходя от кассы! Россия для россиян! Так будет гораздо удобнее... вас ловить.

Увы, фишерам удобнее международная схема. Если наших не трогать, то у наших органов и претензий не будет. А если иностранца обчистят, он жалуется только своим ментам. Те говорят: извините, русская мафия из Питера. И все, концы в воду.

Но насчет "улицы с одностронним движением" - это явный миф. Даже обналичить украденные электробабки, сидя в одной только России, очень непросто. А самому ехать за рубеж - загребают тут же. Поэтому умные имеют зарубежных посредников. Так что "улица" все-таки "двусторонняя".

Не то же ли самое с хостингом? В конце концов, ихняя полиция может стукнуть нашей. Те пойдут прямиком к хостеру. Уже ходят. Значит, необязательно в Питере сервера ставить. Достаточно устроить там лишь виртуальный сервис, своего рода "перевалочную базу". Одно из звеньев цепочки. А сервера можно и в Англии держать.

Анастасия считает эту схему "нежизнеспособной"? Ну, мы поняли: если она потеряет работу в РБК, фишеры вряд ли возьмут ее в консультанты. А сами будут продолжать игры с переадресацией. Цепочка опять уходит из России, никто не знает хостинга RBN. Значит, нашей милиции опять делать нечего. Но даже если она и озаботится - сколько времени идут эти официальные обращения из страны в страну? А переадресация дело минутное, автоматизированное.

Впрочем, если эта очевидная логика все еще кажется неочевидной - вот что рассказал "Вебпланете" про RBN один российский специалист по хостингу:

"Возможно, их основная людская база - в Питере. Но и только. Ресурсы, судя по всему, все заграничные. Соответственно, отсюда и проблемы. То есть "русская мафия" или "покрытие" не при чём. Просто получилось, что люди, решившие так заработать деньги и оказавшиеся удачными в этом деле, оказались питерцами. И проблема не в том, что "покрывают" их. А в том, что мы разосрались с соседями и нихрена горизонтальных связей нет. Была давно-давно атака на Мастерхост и Петехост - так тоже, всех нашли, а сделать ничего не можем. Разбойник - резидент Эстонии. Причём все всё понимают - и тут внизу спецслужбы, и там внизу спецслужбы. Но поскольку должно быть согласование на дипломатических уровнях - увы".

Видите - бывают разбойники даже в такой прекрасной стране, как Эстония, которая полгода кричит об "атаках из Кремля" и обещает "Нашим" арест в любой стране Европы. Но своих тоже не спешит выдавать.

Вот так оно и тянется. Специалисты по безопасности изучают липовые регистрационные записи. Руководители компаний открещиваюся от существования схем, которые не укладываются в их собственный бизнес-план. Провайдеры ждут сигнала от Управления "К". Управление ждет наводок от Интерпола. А Интерпол "осваивает "Фотошоп". Натуральная сказка о Репке.

А Репка тем временем растет. Оффшорная Силандия, мечтающая предоставлять свободный от цензуры хостинг, нашла русских инвесторов для запуска собственного спутника. Прям хочется пропеть "Мы верим в мужество отчаянных парней!" Хотя справедивости ради стоит заметить: "независимое государство Силандия" - это такая большая железяка, которая точит из моря у берегов Великобритании, а вовсе не в Финском заливе. Отчаянные парни давно являются международной сетью, а не просто "русской мафией".[...]