Русский след

Добропорядочных граждан пугают русскими хакерами

В конце августа – начале сентября во многих средствах массовой информации по всему миру появились сообщения о новых проделках русских хакеров. Поводов оказалось два, и случились они по странному совпадению практически одновременно.

Сначала уважаемый британский журнал The Economist опубликовал статью A walk on the dark side , в которой рассказал о существовании в России подпольной компьютерной сети под названием Russian Business Network . О самой сети, по словам журнала, нет никакой информации, она не принадлежит какой-либо официально зарегистрированной организации, о людях, причастных к ее созданию, ничего не известно, кроме их никнеймов в сети интернет. При этом сеть RBN широко используется во всем мире для незаконной деятельности в сети интернет: от взлома сайтов, рассылки вирусов до распространения детской порнографии.

Через несколько дней после публикации статьи на сайте Economist.com появилась информация, что Russian Business Network оказалась причастна к взлому интернет-сайта Bank of India . В результате взлома злоумышленники разместили на сайте вредоносный скрипт, который незаметно для посетителей заражал их компьютеры вирусами. Чуть позже, когда специалисты по компьютерной безопасности исследовали код, обнаруженный на сайте, выяснилось, что после попадания на страницы взломанного сайта пользователь перенаправлялся на сервер хакеров, через который на компьютер пользователя загружались коды программ-троянов (по данным ZDnet – в количестве 22 штук, а по данным российского cnews.ru – 31). Каждая программа, которая загружалась на компьютер пользователя, выполняла свою функцию: некоторые открывали доступ для использования компьютера извне, например, для рассылки спама или участвовали в атаках на интернет-серверы, также было обнаружено несколько кодов, которые занимались сбором паролей, использовавшихся на данном зараженном компьютере.

Казалось бы, оба события интересны, скорее всего, специалистам в области компьютерной безопасности, и для рядового человека никаких последствий не несут. Но это только на первый взгляд. Что касается взлома сайта банка, и размещения на нем кода, который заражает компьютеры вирусами, то такое событие имеет, в общем-то, вполне реальные последствия для все тех, кто заходил на такой сайт. То, что в данном случае инцидент произошел с индийским банком, не означает, что нечто похожее не может случиться с сайтами российских, либо каких-либо других банков, которые вы имеете привычку время от времени посещать. Среди вирусов, которые загружались в компьютеры посетителей Bank of India , были и программы, предназначенные для сканирования содержимого компьютера на предмет хранящихся там паролей и логинов, следовательно, к организаторам этой акции могли попасть и регистрационные данные, например, в системах интернет-банкинга или электронных кошельках.

Кроме того, сейчас существуют вирусы, которые могут отслеживать текст, набираемый пользователем зараженного компьютера на клавиатуре, получая таким образом номера банковских карт, которые вводятся в интернет-магазинах.

Но кроме этого прикладного аспекта, есть и еще один, из-за которого стоит разобраться в шумихе вокруг русских хакеров вообще и RBN , в частности. В последние годы русские хакеры стали примерно тем же пугалом для всего остального мира, как, в свое время пресловутая «русская мафия». Раньше Россия ассоциировалась со здоровяками, вооруженными бейсбольными битами и с автоматами наперевес. Сейчас мировые СМИ пытаются заменить образ быковатых бандитов тщедушными гениями, которые из Санкт-Петербурга или Томска гораздо эффективнее потрошат кошельки добропорядочных жителей всех остальных стран, не покидая даже собственной квартиры. Нужно ли говорить, что ни тот ни другой образ не способствует благоприятному отношению к России и ее жителям за рубежом.

О том, насколько реальна угроза со стороны русских хакеров, достоверных данных нет. В большом количестве публикаций на этот счет вымысел причудливо переплетается с реальностью, и отделить одно от другого практически невозможно. Поэтому попробуем разобраться в конкретной ситуацией, связанной с деятельностью Russian Business Network – уж слишком много о ней в последнее время писалось в разных странах.

Сообщения о существовании некоей подпольной компьютерной сети под названием Russian Business Network ( RBN ) и физически располагается в России, стали появляться примерно год назад. Чаще всего, такие сообщения появлялись в контексте распространения вирусов. За комментарием на эту тему мы обратились в компанию, специалисты которой знают о вирусах и их распространении, наверное, больше всего в нашей стране – в «Лабораторию Касперского». «Действительно, изучая работу ряда вредоносных программ , мы обнаружили, что управление зараженными компьютерами производилось с серверов, IP -адреса которых относятся к сети так называемой Russian Business Network , - рассказал нам старший вирусный аналитик «Лаборатории Касперского» Виталий Камлюк. – Кроме того, с адресов, закрепленных за RBN , осуществлялись и атаки на ряд интернет-серверов».

Существование вредоносной сети очень часто обсуждалось на специализированных форумах, чаще всего, в связи с жалобами на то, что его компьютер подвергся атаке, которая велась с IP , закрепленных за RBN . Но основанное внимание к RBN было привлечено благодаря ряду сообщений компании VerySign , специализирующейся на вопросах сетевой безопасности. VerySign даже выпустила специальный отчет, посвященный RBN , в котором попыталась описать суть ее деятельности, взаимосвязи этой организации с рядом интернет-провайдеров в России и за рубежом. Согласно этого отчета, сеть RBN замешана в распространении детской порнографии, организации фишинговых сайтов, распределенных атак на разные серверы, рассылке вирусов, спама, управлении зараженных компьютеров. В общем, трудно придумать вид преступной деятельности, в которой бы не была замешана RBN . При этом сами организаторы в основном занимаются предоставлением услуг «пуленепробиваемого» хостинга (таким эпитетом наградили его в VerySign ) для тех, кто собирался распространять вирусы, организовывать атаки, воровать пароли у пользователей интернет-банкинга и распространять порнографию. В достаточно упрощенном виде суть такой деятельности заключается в следующем. Если какой-нибудь асоциальный элемент начнет заниматься подобно рода деятельностью со своего домашнего или офисного компьютера, то спецслужбам достаточно просто определить физическое положение такого компьютера, после чего прийти за его владельцем и самим компьютером в качестве вещдока. Любой интернет-провайдер сдаст такого неудобного клиента по первому же требованию властей. Бизнес RBN , по данным VerySign , строится и состоит именно в предоставлении желающим возможностей осуществления всего вышеперечисленного с гарантией отсутствия последствий со стороны правоохранительных органов. Путем несложных умозаключений в VerySign пришли к выводу, что такое возможно благодаря тотальной коррупции в России и связей владельцев сети RBN с высокопоставленными чиновниками и политиками в России. The Economist даже дает более четкие данные на этот счет. По информации журнала человек, управляющий сетью RBN , о котором известно только, что он скрывается под псевдонимом «flyman», является родственником одной из главных политических фигур в Санкт-Петербурге.

Судить о том, насколько такая информация соответствует реальности сложно. Многие атаки, управление вирусами действительно происходят с компьютеров, которые расположены по адресам, предоставленным организации Russian Business Network . Причем, русский след в таких действиях прослеживается. «Анализируя деятельность вредоносных программ, связанных с данной сетью, мы обнаружили, что основная деятельность RBN сосредоточена в России – именно внутри страны находятся значительная часть компьютеров зомби-сетей. Кроме того, у нас в распоряжении есть фрагменты скриптов, в которых видны комментарии на русском языке», - говорит Виталий Камлюк. С другой стороны, в настоящее время, в регистре IP -адресов в качестве места расположения RBN значится Панама, а блок адресного пространства, частью которого являются адреса, выданные RBN закреплен за компанией Too Coin , зарегистрированной в Великобритании.

По данным «Лаборатории Касперского», за сетью числится около 2000 IP -адресов, из которых от четверти до половины занято уже работающими и доступными из Интернета веб-серверами.

В общем, факты, позволяющие убедиться в существовании некоей сети, через которую ведется незаконная деятельность в сети интернет, есть. Остается только гадать, почему, если такая сеть существует запад сам не предпринимает попыток каким-то образом разобраться с RBN . По мнению, аналитика компании RU-CENTER, оказывающей помощь в получении IP -адресов и занимающейся регистрацией доменов, Павла Храмцова, для пресечения подобной деятельности и за пределами России достаточно средств. «Дело в том, - поясняет Храмцов, - что скажем, американские провайдеры могут просто блокировать диапазон IP -адресов, которые предоставлены RBN . Или, например, эти адреса могут быть заблокированы после направления соответствующего предписания компании Too Coin , в которой в качестве клиента RBN получила свои адреса. Too Coin находится в английской юрисдикции, подчиняется английским законам, и обращаться к российским властям нет никакой необходимости». Но почему-то такие действия не производятся. Видимо, пугающие истории о страшной хакерской угрозе со стороны России все-таки выгодны.

Что же касается прикладных вопросов финансовой компьютерной безопасности, то, читайте об этом вскоре на m3m.ru , а пока, как минимум, обновите свой антивирус, прочитайте и выполните все рекомендации по безопасности электронных платежных систем, которые вы используете.