14.10.07 Темная сеть RBN - ось зла цифрового мира? Действия загадочной Russian Business Network, сети, центр которой якобы находится в Петербурге, привлекли внимание широкой кибер-общественности. В последнее время о ней пишут и говорят такие крупные деятели как Symantec, Касперский и Washington Post Так, на моей памяти за последние пару месяцев эта группа обвинялась в : взломе сайта Bank of India в сентябре: "Сайт Bank of India закрылся в пятницу на суточную профилактику, после того как специалисты Sunbelt Software обнаружили факт взлома. Как сообщает The Register, на страницах ресурса обнаружен тридцать один троян. Взломав сайт, злоумышленники внедрили в код его страниц невидимые для посетителя плавающие рамки (iframe), загружающие различный троянский код при помощи уязвимостей в браузерах. Sunbelt обнаружила на сайте трояны Pinch, Trojan.Netview, Trojan-Spy.Win32.Agent.ql. Это трояны, использующие руткиты и ряд спам-ботов - троянских модулей, предназначенных для рассылки спама. Ряд серверов, с которых загружались трояны, принадлежал Russian Business Network." (источник http://team-madalf.com/) Полностью конспиративная контора, незарегистрированная нигде, анонимная и виртуальная в полном смысле слова, чьи руководители известны только по кличкам - вот тот образ, который “знаком” борцам с Russian Business Network. За этой сетью хостинга числятся самые злостные нарушения законодательства. В ней размещаются и нелегальные видеосервисы детской порнографии, и спам-боты, и более серьезные преступники. До ворот RBN проследили атаки хакеров на видные сайты, крупные фронтовые операции по phishing’у, краже конфиденциальных данных и вирусной активности. RBN служит надежным домом для всех этих кибер-преступников, при этом, скорее всего, сами владельцы не участвуют непосредственно в бизнесе своих клиентов, а просто покрывают их. И не бесплатно. Хостинг в этой мифической компании очень дорогой - $600 в месяц! Зато какой! Полностью анонимный, полностью защищенный от прослеживания и полностью секретный. Постоянно меняется как дислокация, так и распределение ресурсов. Не хостинг, а мечта! Ей приписывают такие псевдонимы и филиалы: RBNet, RBNetwork, RBusinessNetwork, iFrame Cash, SBT Telecom Network, Aki Mon Telecom, Rusouvenirs Ltd., TcS Network, Nevcon Ltd, Micronnet Ltd, Too coin Software, 76service. Некоторые из этих подсетей находятся за пределами России, а именно: в Панаме, на Сейшельских островах и Великобритании. Дальше - больше. В статьях о сети Russian Business Network говорится о том, что недавнее похищение $150 миллионов было проведено изнутри этой сети группой хакеров “ROCK”. Само существование темной сети обрастает множеством противоречивых подробностей и домыслов. Говорят о связях с криминальным миром, а то и с загадочными “правительственными структурами”. Акцентируется внимание на полной децентрализованности и анонимности сети, что делает ее неуязвимой и вездесущей. Утверждается, что фактически сегмент интернета, подсеть районного уровня или университетский сетевой центр могут и не знать о своей принадлежности преступному синдикату... И только Кто-то, в огромном темном зале, за стальными дверями, окруженный пылающими экранами и молчаливыми сообщниками, улыбается золотыми зубами. Он улыбается, затягивается сигарой и, выдыхая, говорит “Мы их сделали, Григорий!” - по-английски, но со страшным русским акцентом. источник http://www.washingtonpost.com
может надем их и посмотрим что у них там за порно?)) что мы знаем о RBN ? Существование вредоносной сети очень часто обсуждалось на специализированных форумах, чаще всего, в связи с жалобами на то, что его компьютер подвергся атаке, которая велась с IP , закрепленных за RBN . Но основанное внимание к RBN было привлечено благодаря ряду сообщений компании VerySign , специализирующейся на вопросах сетевой безопасности. VerySign даже выпустила специальный отчет, посвященный RBN , в котором попыталась описать суть ее деятельности, взаимосвязи этой организации с рядом интернет-провайдеров в России и за рубежом. Лишь одна большая афера под названием Rock Phish, в ходе которой доверчивых пользователей заставляли вводить персональную финансовую информацию, такую, как реквизиты банковского счета, по оценкам VeriSign, принесла в прошлом году 150 млн долларов. The Economist даже дает более четкие данные на этот счет. По информации журнала человек, управляющий сетью RBN , о котором известно только, что он скрывается под псевдонимом «flyman», является родственником одной из главных политических фигур в Санкт-Петербурге. Судить о том, насколько такая информация соответствует реальности сложно. Многие атаки, управление вирусами действительно происходят с компьютеров, которые расположены по адресам, предоставленным организации Russian Business Network . Причем, русский след в таких действиях прослеживается. «Анализируя деятельность вредоносных программ, связанных с данной сетью, мы обнаружили, что основная деятельность RBN сосредоточена в России – именно внутри страны находятся значительная часть компьютеров зомби-сетей. Кроме того, у нас в распоряжении есть фрагменты скриптов, в которых видны комментарии на русском языке», - говорит Виталий Камлюк. С другой стороны, в настоящее время, в регистре IP -адресов в качестве места расположения RBN значится Панама, а блок адресного пространства, частью которого являются адреса, выданные RBN закреплен за компанией Too Coin , зарегистрированной в Великобритании. По данным «Лаборатории Касперского», за сетью числится около 2000 IP -адресов, из которых от четверти до половины занято уже работающими и доступными из Интернета веб-серверами. Сайт Wired публикует ответ на выдвинутые обвинения представителя Russian Business Network, некоего Тима Джерета (Tim Jaret), присланный по электронной почте (судя по обратному адресу, этот человек работает в отделе работы с претензиями). "Мы не можем понять, какие основания у всех этих организаций высказывать подобное мнение о нашей компании, - пишет он. - Мы можем сказать, что это всего лишь субъективное мнение, основанное на догадках". Собеседник упоминает о попытках наладить сотрудничество с одной из организаций-"недоброжелателей" - Spamhaus (занимающейся борьбой со спамом и включившей все 2 048 интернет-адресов, которыми управляет RBN, в свой черный список известных спамеров). Он называет такое сотрудничество малоконструктивным, как альтернативу рассматривает подачу судебного иска, утверждая при этом, что его компания исправно закрывает сайты преступников в течение 24 часов после уведомления. По словам Джерета, владельцем RBN является оффшорная компания First Connect Telecom Limited Inc, однако при этом руководители компании остаются анонимными (они известны по своим прозвищам). Например, глава RBN, обозначаемый как "Flyman" (это уже согласно данным The Economist), имеет дядю, занимающего достаточно высокую должность в Санкт-Петербурге. Если верить регистрационной информации, то владельцем имени домена названа Absolutee Corp. LTD. (впрочем, после того, как службы безопасности начали тщательные проверки деятельности RBN, компания убрала свой вебсайт из Сети и изменила регистрационную информацию). В общем, факты, позволяющие убедиться в существовании некоей сети, через которую ведется незаконная деятельность в сети интернет, есть. Остается только гадать, почему, если такая сеть существует запад сам не предпринимает попыток каким-то образом разобраться с RBN . По мнению, аналитика компании RU-CENTER, оказывающей помощь в получении IP -адресов и занимающейся регистрацией доменов, Павла Храмцова, для пресечения подобной деятельности и за пределами России достаточно средств. «Дело в том, - поясняет Храмцов, - что скажем, американские провайдеры могут просто блокировать диапазон IP -адресов, которые предоставлены RBN . Или, например, эти адреса могут быть заблокированы после направления соответствующего предписания компании Too Coin , в которой в качестве клиента RBN получила свои адреса. Too Coin находится в английской юрисдикции, подчиняется английским законам, и обращаться к российским властям нет никакой необходимости». Но почему-то такие действия не производятся. Видимо, пугающие истории о страшной хакерской угрозе со стороны России все-таки выгодны. по запросу Rock Phish находим такую информацию XAKEP.RU: Группа Rock Phish отвечает за половину фишинга в мире Rock Phish - имя одного из главных кибергангстеров, инициатора бесчисленных фишерских атак с использованием новейших криминальных технологий. Впервые имя «Rock Phish» появилось в конце 2004 года, так как в URL новых зарегистрированных фишерских сайтов использовался подкаталог rock. Когда название подкаталога было внесено в новые настройки антифишинговых фильтров, фишеры отказались от использования этих URL, но имя «Rock Phish» осталось в обиходе. По мнению специалистов по сетевой безопасности, Rock Phish – небольшая, около десяти человек, группа технически подкованных компьютерных мошенников, которая занимается созданием поддельных вебсайтов, регистрацией фальсифицированных доменных имен, сбытом похищенной персональной информации через интернет-чаты агентам по отмыванию «грязных» денег. Известно также, что в распоряжении криминальной группировки имеется сеть подконтрольных компьютеров, перенаправляющих жертв фишинга на главный сервер для слива персональных данных в общую базу. Киберпреступники умело используют разобщенность интернет-сообщества для ведения своего нелегального бизнеса. По экспертным оценкам, в настоящее время группа Rock Phish является самым активным фишером глобального масштаба, ответственным за треть или даже половину всех фишерских атак, ежедневно терроризирующих интернет-сообщество. Специалисты Антифишинговой рабочей группы (APWG) также считают Rock Phish повинной в оживлении фишерской деятельности, зафиксированном в Интернете за последние несколько месяцев. С августа Рабочей группой было зарегистрировано 19 тысяч фишерских URL, тогда как к октябрю этот показатель почти удвоился. Криминальный агрессор обходит вниманием популярные в этой среде мишени, eBay и PayPal, и специализируется на европейскои и американском финансовом онлайн-сервисе. По последним данным, умельцы из Rock Phish подделали 44 логотипа банковских компаний из девяти стран, выманивая номера кредитных карт и пароли их клиентов через фальшивые веб-сайты. Среди жертв именитой фишерской группы числятся пользователи CitiBank, E*Trade, Barclays и Deutsche Bank. Убытки банков от деятельности Rock Phish уже превышают $100 миллионов. Фишерские акции Rock Phish отличаются использованием новаторских приемов и уловок, что позволяет злоумышленникам на шаг опережать разработку защитных компьютерных и правоохранительных решений и снискало им невольное уважение специалистов по сетевой безопасности. Эксперты склонны считать, что графический спам был впервые применен именно этой преступной организацией. Rock Phish также инициировала использование «одноразовых» URL, чтобы обойти антифишинговые фильтры и черные списки. Мошенническое нововведение с регистрацией редких доменных имен мелких государств, таких как Сан-Томе, Принсипи, Молдова, исследователи тоже относят на счет этой криминальной группировки. вот собственно и все что есть в сетке, мое мнение - боятся они и рисуют мультяшных монстров