Наиболее крупный игрок на поле международной киберпреступности исчез из сети. Возникли опасения, что эта русская группировка готовится, обосновавшись в Китае, возобновить свою деятельность и теперь представляет собой еще более зловещую угрозу.
Эксперты в сфере безопасности полагают, что Russian Business Network (RBN), теневая организация с центром в Санкт-Петербурге, возглавляемая человеком, который известен лишь как "Flyman", участвовала в большей части киберпреступлений, совершенных в последние годы в Великобритании. RBN, которую прозвали "матерью киберпреступности", уличили в связях с производителями детской порнографии, корпоративном шантаже, спаммерских атаках и краже паролей.
Есть опасения, что группировка создает новую крупную базу на территории Китая, что позволит преступникам инициировать новую волну киберпреступности. "Основной целью этой группировки и ее клиентов является Соединенное Королевство, и похоже, что ситуация будет ухудшаться", - говорит Дэвид Пери, аналитик из Trend Micro, фирмы, которая занимается обеспечением безопасности.
В случае если информация о переезде группировки в Китай соответствует действительности, на китайские власти будет оказано грандиозное давление с целью заставить их предпринять какие-нибудь шаги по борьбе с RBN.
Эксперты в сфере безопасности утверждают, что RBN может предложить преступникам "непробиваемые" сайты. Такой сайт, с виду часто похожий на легальный, может быть использован для внедрения вредоносных программ в компьютер человека, который заходит на данную страничку. Зараженный компьютер используется для кражи паролей его владельца, секретной рассылки спама или проведения кибератак на правительственные сайты.
По некоторым оценкам, Rock Group, одна из пользовавшихся хостингом RBN банд, которая специализировалась на фишинге, в прошлом году заработала 150 млн долларов (71,5 млн фунтов), обманом заставляя людей выдавать свою конфиденциальную финансовую информацию. Кроме того, по некоторым сведениям, RBN создала десятки поддельных антивирусов и программ, якобы предназначенных для борьбы со шпионским программным обеспечением. Одураченные люди, в ошибочной уверенности, что они защищают себя от связанных с виртуальным пространством угроз, сами давали доступ этим программам к своим компьютерам. Своей деятельностью RBN приобрела столь широкую славу, что VerySign, одна из крупнейших компаний, занимающихся обеспечением безопасности в интернете, назвала ее "худшей из плохих". Атаке подвергся даже Банк Индии: в августе было обнаружено мошенническое ПО, предназначенное для кражи паролей из компьютеров клиентов этого банка. Пока эксперты устраняли неполадки, его сайт в интернете был недоступен.
По оценкам Казначейства США, киберпреступность наносит больший ущерб, чем незаконная торговля наркотиками. Он составляет более 100 млрд долларов в год.
RBN также связана с российскими властями и, как предполагают некоторые аналитики, сыграла роль в недавних атаках на эстонские сайты. Компания Symantec, которая занимается обеспечением IT-безопасности, в своем отчете высказывает предположение, что RBN поддерживает контакты с криминальным подпольем и российским правительством.
Впрочем, недавно из сети исчезло большое количество сайтов, которые пользовались хостингом RBN, что заставило экспертов предположить, что группировка занялась модернизацией своей бизнес-модели. "RBN реорганизуется", - говорит Раймунд Джинс, главный технический специалист, занимающейся IT-безопасностью компании Trend Micro, которая обнаружила, что проведенные RBN атаки на корпоративные и правительственные сайты по всей Европе и Америке велись с серверов на территории Панамы.
Предполагается, что одной из причин реорганизации стали недавние угрозы российских властей ввести более серьезную ответственность за киберпреступления. Вторая причина в том, что крупные легальные провайдеры, услугами которых RBN пользуется для доступа в интернет, отказались от сотрудничества с этой группировкой, поскольку ее деятельность со временем привлекает все больше внимания. Некоторые аналитики утверждают, что RBN стремится рассредоточить свои силы, распределив свои серверы между Панамой, Турцией, Сингапуром, Китаем, США и Канадой.
Эксперты зарегистрировали в Китае необычный всплеск регистрации новых IP, счет которых пошел на тысячи. По их мнению, это почерк RBN. В Китае эта группировка получит еще более широкую площадку для незаконной деятельности.
Что такое фишинг
Эксперты в сфере безопасности считают, что RBN "готовит почву" для большинства сетевых преступлений. Типичная преступная схема такова: мошенник платит RNB за аренду ее мощностей и проведение атаки на сайт успешного банка. Заходя на страничку банка, клиент попадает на созданный RBN подставной сайт, который ищет в его браузере (это, как правило, Microsoft Internet Explorer) уязвимые места. Если лазейка найдена, на компьютер устанавливается "загрузочная" программа, которая по сути создает секретный путь для доступа в компьютер. Его можно использовать для установки ПО, которое, к примеру, фиксирует всю информацию, вводимую клиентом с помощью клавиатуры. Такая программа позволяет красть пароли и номера кредитных карт.