Russian Business Network - русская "Аль-Каеда"?
января 6, 2010
22 декабря на сайте газеты Wall Street Journal в Интернете появилось сообщение, будто связанные с российской бандой хакеры взломали защиту компьютерной сети Citibank и похитили десятки миллионов долларов.Газета не указывает, у кого именно были похищены деньги - у банка или вкладчиков, - но со ссылкой компетентные источники пишет, что ФБР расследует это дело. По словам Сиобхана Гормана и Ивена Переса, авторов статьи в Journal, минувшим летом следователи обнаружили в Интернете подозрительную активность адресов, принадлежащих преступной группе, которая называла себя Russian Business Network (RBN) и торговала пособиями для хакеров и программами вторжения на закрытые сайты государственных учреждений США.
В мировом интернет-сообществе RBN получила грозное прозвище «матери киберпреступности». Больше всего история этой организации напоминает «Аль-Каиду»: никто не видел ее основателя, никто не знает ее точного адреса и вообще не ясно, существует ли она до сих пор или погибла под натиском правоохранительных органов разных стран. Среди хакеров ходит версия, будто создателем RBN был сын минского милиционера Александр Рубацкий. По стопам отца он не пошел и сначала работал в бригаде местного торговца детской порнографией, а затем открыл свой бизнес, начав тоже с порно, но затем создал компанию RBN на базе петербургского оператора «Элтел».
Два года назад эта группа пропала, но считают, что нападениями на Citibank занимались ее отпрыски. Хакеры пользовались компьютерами с введенной туда программой Black Energy, изначально предназначенной для охраны сайтов в интернете, но помогающей проникать на сайты и похищать данные. Не исключено, что нападения хакеров на этот и другие банки, а также на другие учреждения, включая федеральные, началось еще в прошлом году. К расследованию ФБР подключилось Управление национальной безопасности. Руководство службы собственной безопасности компании CitiGgroup, куда входит Citibank, категорически отвергло сообщение Wall Street Journal. Там заявили, что ничего не знают ни о пропаже денег из банка, ни о расследовании ФБР на таком уровне. В настоящее время 27% активов Citigroup принадлежит государству.
Авторы статьи в Journal напомнили, что в декабре федеральная прокуратура в Атланте предъявила обвинения восьми хакерам, среди которых Виктор Плещук из Санкт-Петербурга, Олег Ковелин из Кишинева, а также таллинцы Сергей Цуриков, Игорь Грудижев, Рональд Цой, Михаил Евгенов и Эвелин Цой. Они и остальные обвиняются во взломе компьютерных сетей банка RBS WorldPay (американский филиал Royal Bank of Scotland) в Атланте, что дало хакерам возможность получить доступ к данным о банковских картах вкладчиков и в ноябре 2008 года за 12 часов снять с их счетов более девяти миллионов долларов. Деньги снимались в 2100 банкоматах 280 городов по всему миру, включая США, Украину, Россию, Эстонию, Италию и Японию. Вскользь в статье упоминается и «крестный отец» банковского кибербандитизма россиянин Владимир Левин, который в 1994 году «хакнул» все тот же Citibank на 10 млн долларов. Тогда конкуренты накинулись на ограбленный банк, чтобы переманить крупнейших вкладчиков, но Citibank заявил, что почти все похищенные деньги удалось восстановить.
По данным ФБР, потери от киберпреступлений в США за 2008 год превысили 260 млн долларов, а по словам бывшей «царицы» борьбы с киберпреступностью Мелиссы Хэтауэй, нападения хакеров на корпорации достигли уровня эпидемии. Президент Обама возвел Хэтауэй на этот трон 9 февраля 2009 года, 21 августа она ушла в отставку по «личным причинам» и с 1 октября работает старшим советником пентагоновского проекта MINERVA в Гарварде. Трон «царя» борьбы с кибепреступностью пустовал до 22 декабря, когда Обама короновал Ховарда Шмидта, бывшего специального советника Буша-младшего в этой области. В прошлом Шмидт руководил отделом специальных расследований в наших ВВС, в 1990 годах, возглавлял компьютерный отдел подразделения ФБР по борьбе с распространением наркотиков. Затем он работал в частном секторе директором по безопасности в корпорации Microsoft, а потом - вице-президентом и директором по информационной безопасности в eBay. В Белом доме президента-республиканца Шмидт прослужил с 2001 по 2003 год.
После того, как в прошлом году хакеры атаковали базы Центрального командования вооруженных сил США, а до этого регулярно прощупывали компьютерные системы Пентагона, НАСА и министерства энергетики, у нас была проведена операция по обнаружению киберпротивника, которую романтично назвали «Лабиринт лунного света». Было установлено, что терминал, с которого велась атака, находится на территории бывшего СССР. В последнем ежегодном докладе компании McAfee, которая обеспечивает безопасность компьютеров (включая мой), подчеркивается, что в мире началась «холодная кибервойна».
В августе этого года Барка Обама заявил, что одна из угроз национальной безопасности США - вирус cornficker. Эта компьютерная эпидемия считается самой масштабной с 2003 года, она поразила даже компьютеры ВМС Великобритании и бундесвера ФРГ. Кроме того, вирус cornficker помогал своим создателям зарабатывать, требуя от пользователя купить антивирус. Он скачивался с сайта российской партнерской программы Traffic Converter. Вся переписка на сайте велась на русском языке.
Но вернемся к кибербандитской группе Russian Business Network и ее страшному оружию - программе-отмычке Black Energy. Хакеры пользуются этой программой прежде всего для блокировки доступа на сайты, и, например, поясняет Journal, во время российско-грузинского блицкрига в 2008 году закрыли сайты правительсва и банка Грузии. Годом раньше были блокированы сайты правительства и госбанка Эстонии и «было совершено нападение на сайт политических противников Путина, тогда президента, а ныне премьер-министра России». В 2006 году в Лондоне осудили группу российских хакеров, которые грабили британские букмекерские конторы, подвергая их DDoS-атакам и требуя выкуп за восстановление нормальной работы. На расследование Интерполу и Скотланд-Ярду потребовалось три года.
Сообщение о Russian Business Network, которую сейчас называют «преступной группой», появилось за месяц до статьи в Wall Street Journal на парламентской ассамблее НАТО, но тогда ее назвали «загадочной киберструктурой». В докладе «НАТО и киберзащита» отмечалось, что русскоязычные хакеры страшны не столько «политическими киберпровокациями» по заказу своего правительства, сколько тем, что они связаны с преступными организациями, которые взламывают информационные системы западных банков и вскрывают пароли кредитных карт.
Джо Стюарт, исследователь из компании компьютерной безопасности SecureWorks говорит, что программу Black Energy создал российский хакер, проходящий в Интернете под кодом Cr4sh. Менеджер аналогичной компании Arbor Networks Хосе Назарио сообщил, что эту программу можно приобрести в Интернете за 40 долларов. Адам Микрат, глава компании DigitalStakeout, которая следит за атаками хакеров, сказал корреспондентам Journal, что в апреле появилась усовершенствованная версия Black Energy, которая стоит 700 долларов, называется YES Exploit System, и с ее помощью можно воровать данные банковских счетов. Еще двое непоименованных авторами статьи специалистов сообщили, что при последнем киберналете на Citibank использовалась специально созданная для этого программа.
Хотя в CitiGgroup это отрицают, Роберт Бланшар, совладелец компании Bridge Metal Industries из Маунт-Верно в штате Нью-Йорк, утверждает, что стал жертвой налетчиков. По словам Бланшара, в 3 часа утра 6 июля он попытался войти на счет своей фирмы в Citibank через свой обычный пароль и кодовый номер, но не смог. Бланшар позвонил в банк, и ему сказали, что пароль ему сменят и срочной почтой пришлют новый, но пока он дозвонился до местного отделения Citibank, с его счета в банки Украины и Латвии ушли 1 007 655 долларов. Расследование установило, что компьютер Bridge Metal Industries оказался засорен компьютером другой принадлежащей Бланшару компании, который «подключил» его к группе компьютеров группы хакеров. В итоге сыщики Citibank помогли Бланшару получить от латвийского банка 810 855 долларов, а остальное доплатил Citibank.
Том Келлерман, в прошлом возглавлявший службу безопасности Всемирного банка, сказал, что в наш просвещенный век 98% банковских краж совершаются «виртуально», и только 2% приходятся на долю старомодных воров и грабителей. По данным отдела борьбы с преступлениями (Financial Crimes Enforcement Network) министерства финансов, банки, которые принимают вклады, с апреля 1996 по конец 2008 года зафиксировали больше 53 тыс. случаев мошенничества с электронными переводами, причем почти 15 тыс. случаев были зафиксированы в 2008 году, хотя в 2007 их было только 9300. У кого искать защиту? Правоохранители собирают силы для мощного удара, а пока, как рассказал старший специалист McAfee Франсуа Паже, известно, что Russian Business Network начинала как интернет-провайдер и за 600 долларов в месяц гарантировала, что не выдаст информацию о своих клиентах, каким бы бизнесом они ни занимались.
Определить, кто именно стоит за кибернападением на банк, крайне трудно. Как было установлено, Эстонию атаковали с территории Панамы, но это ничего не доказывает. Неважно, где расположен компьютер. Хакер создает так называемую «botnet» - «сеть роботов» из зараженных вирусами компьютеров, и отдает этим попавшим под его управление компьютерам-зомби команду разослать спам или атаковать коннкретный сайт. Источником атаки выступают ничего не подозревающие пользователи.
Как мы уже отметили, многие считают основателем RBN белоруса Александр Рубацкий. Среди хакеров пользуется популярностью и другая версия о криминальном киберавторитете по прозвищу Абдула. Два года назад о нем даже сложили рэп-песню с припевом: «Четыре года в деле господин Абдула», но самое ценное там не припев, а полный список стран, в которых располагались серверы RBN: Китай, Турция, Сингапур, Панама, Пакистан, Таиланд, Малайзия и США...