Холодная кибервойна
В США и других входящих в НАТО странах в последнее время активно обсуждается новая глобальная угроза. Теперь это не исламский терроризм, а всемирная сеть русскоязычных хакеров (как вариант — российских и китайских хакеров).
В первых числах декабря парламентская ассамблея Североатлантического альянса одобрила доклад «НАТО и киберзащита». В нем, помимо прочего, приводится пример кибератаки, проведенной против Эстонии весной 2007 года. Злоумышленники воспользовались тем, что к тому моменту Эстония уже давно перешла на электронный документооборот. В результате атаки работа всего госаппарата страны была полностью парализована. Другие, более поздние примеры из того же ряда, - атака на сайт правительства Грузии в августе 2008 года и нападение «пророссийских хакеров» на Литву в тот момент, когда она наложила вето на переговоры между Россией и ЕС. По мнению авторов доклада, если даже российское правительство и непричастно к данным действиям, то оно ничего не сделало, чтобы эти атаки предотвратить.
Неуловимая RBN
Впрочем, в отличие от большинства предыдущих обвинений, в нынешнем докладе НАТО назван конкретный подозреваемый. Им стала неизвестная прежде виртуальная структура Russian Business Network (RBN), которая, якобы, и стоит за многочисленными DDoS-атаками последних лет. Как следует из все того же доклада НАТО, российские хакеры далеко не всегда устраивают по заказу Кремля политические киберпровокации. Более опасно то, что эти полумифические хакеры связаны с организованными преступными группами, которые взламывают информационные системы западных банков, вскрывают пароли кредиток, а также крадут персональные данные клиентов банков и пользователей платежных систем.
Россияне на выдвинутые обвинения ответили, что в ходе кибератаки на Эстонию 60% трафика шло с территории США, 30% - из Китая и только 10% - из России. Российские IT-эксперты считают, что заявления о русском следе, сделанные сразу после DDoS-атак властями Грузии и Эстонии, неубедительны. Впрочем, всем понятно: то, что Эстонию атаковали преимущественно с американской территории, ничего не доказывает. Неважно, где расположен компьютер — важно, где находится злоумышленник, управляющий ботнетом. Злоумышленнику даже предпочтительнее использовать IP-адреса пользователей из той страны, которая должна попасть под подозрение в ходе расследования.
Как рассказал старший специалист компании McAfee Франсуа Паже, серверы загадочной Russian Business Network находятся в Панаме. Деятельность RBN началась в 2007 году — тогда RBN выступала как хостинг-провайдер и предлагала клиентам «непробиваемый» хостинг за $600 в месяц. То есть гарантировала, что информация о клиентах не будет выдана, каким бы бизнесом они ни занимались. Напомню, что конфиденциальные данные о клиентах хостинг-провайдера обычно можно получить только по решению суда. Но к какому суду обращаться в случае обнаружения криминальной деятельности, ведущейся с серверов RBN? К панамскому?
Наиболее активно расследованием деятельности Russian Business Network занимались спецслужбы Великобритании. В британских криминальных сводках создателем RBN называется человек, действовавший в Сети под ником Flyman. Но в среде хакеров популярностью пользуется версия о киберкриминальном «авторитете» по прозвищу Абдула. Считается, что контролируемые им серверы располагались в Китае, Турции, Сингапуре, Панаме, Пакистане, Таиланде, Малайзии и США.
Распространена также версия о том, что создателем RBN был выходец из Беларуси, сын милиционера Александр Рубацкий. Сначала Рубацкий работал в команде местного торговца детской порнографией, а затем отправился в свободное плавание, начав также с распространения порно. Созданная им компания проводила платежи через систему «Киберплат». В 2002 году «Киберплат» оказался в центре громкого скандала: шестеро его топ-менеджеров были уволены за обслуживание сайтов с детской порнографией. Именно после этого Рубацкий и занялся новым бизнесом - создал компанию RBN на базе петербургского оператора «Элтел». Впрочем, напомню, это только одна из версий.
До сих пор среди следователей нет единого мнения: была ли RBN настоящей преступной организацией или только «крышей», под которой действовали не связанные друг с другом киберпреступники. По некоторым данным, к концу 2007 года RBN включала 406 mail-адресов и 2090 доменных имен. Однако в начале 2008-го, когда вокруг RBN начался ажиотаж в мировых СМИ, компания как будто исчезла. В любом случае точно известно: RBN была преступной коммерческой организацией, получающей доход от рассылки спама, распространения детского и взрослого порно, онлайн-казино, контрафактных mp3, распространения вирусов и фишинга.
Сегодня один из самых процветающих бизнесов наследников и бывших членов RBN - интернет-аптеки. По данным международной организации SpamHaus, лидер рейтинга криминальных фармацевтов - Canadian Pharmacy. Это сеть по продаже лекарств - несколько десятков виртуальных аптек, ориентированных на продажи главным образом в Северной Америке. Однако головной сайт этой сети не оставляет сомнений в ее русскоязычном происхождении - glavmed.com. Интернет-аптеки собирают заказы, направляют их на «Главмед», откуда обработанные и консолидированные заказы направляются в Индию, где процветает производство контрафактных медикаментов. Координацией спам-рассылок в рамках проекта занимаются два других сайта - spamit.com и spamdot.biz.
По мнению независимых экспертов, 70% спама в СНГ и в мире приходится на группу из 20-25 человек. Сфера интересов спамеров - все, что можно продавать через Интернет. База данных активных e-mail стоит немалых денег — к примеру, миллион почтовых адресов покупателей доступа к порноресурсам стоит $25.000-30.000.
Война уже началась
Официальные представители «Лаборатории Касперского» уже давно заявляют, что единственный эффективный способ борьбы с преступностью в Интернете - создание «интернет-интерпола». Однако пока никакого реального сотрудничества между государствами в виртуальном пространстве нет. А как следует из недавнего доклада компании McAfee о виртуальной преступности, все еще хуже: в мире началась «холодная кибервойна». Основными противоборствующими силами эксперты называют США, Россию, Китай, а также Францию и Израиль.
В уже упоминавшемся докладе НАТО приводится несколько примеров этой «холодной войны». Так, в 2008 году злоумышленники атаковали базы Центрального командования, а до этого регулярно прощупывали компьютерные системы Пентагона, НАСА и Министерства энергетики США. Операцию по выявлению злоумышленников американцы назвали романтично - «Лабиринт лунного света». Однако смогли выяснить только то, что терминал, с которого велись атаки, расположен где-то на территории бывшего СССР. Другой пример — упоминавшийся даже в выступлении Барака Обамы вирус cornficker. Вызванная им компьютерная эпидемия считается самой масштабной с 2003 года; она поразила даже компьютеры военного флота Великобритании и бундесвера. Зараженные cornficker компьютеры организовались в крупнейший в мире ботнет, использовавшийся в DDoS-атаках. Кроме того, cornficker помогал своим создателям зарабатывать, требуя от пользователя купить антивирус, который скачивался с сайта российской партнерской программы Traffic Converter. Вся переписка на сайте велась на русском языке.
А вот еще примеры «боевых действий в киберпространстве», приведенные в докладе НАТО.
В июне 2007 года была взломана сеть Пентагона: 1500 сотрудников остались без электронной почты, а часть внутренней переписки была похищена. Следствие обнаружило, что следы хакеров ведут в Китай. Вскоре в атаках на свои серверы китайцев обвинили Англия, Германия, Франция и Новая Зеландия. В 2009 году британские и канадские IT-эксперты обнаружили хакерскую сеть Ghostnet, взломавшую почти 1300 ПК в министерствах, посольствах и неправительственных организациях в 103 странах мира. Следы снова вели в Китай. Западные эксперты давно подозревают, что это дело рук хакеров из китайской армии, но Пекин отвергает все обвинения.
Весной этого года Южная Корея обвинила КНДР в подготовке к кибервойне. По данным южнокорейской разведки, в Северной Корее существует спецподразделение, в котором работают от 100 до 600 выпускников Пхеньянского университета. Его цели – взлом американских и южнокорейских систем, шпионаж и нарушение работы сетей. Сеул пообещал создать собственное киберкомандование к 2012 году. Спустя полтора месяца после этого сообщения DDoS-атака блокировала 25 правительственных сайтов Южной Кореи и США.
Противомеры
В марте 2010 года откроется правительственный центр кибернетической безопасности Великобритании. Сотрудники центра (19 человек) будут искать потенциальные угрозы IT-инфраструктуре страны и организовывать контратаки. Создание такого центра предусмотрено обновленной стратегией безопасности Великобритании, представленной премьер-министром Гордоном Брауном летом 2009 года. Министр безопасности Лорд Уэст не исключил, что на работу будут приняты бывшие хакеры. «Британия нуждается в молодежи, разбирающейся во всем этом», – заявил он.
В США также принимаются меры по усилению IT-безопасности. 30 октября 2009-го при Министерстве внутренней безопасности был открыт Центр интеграции кибербезопасности и коммуникаций с бюджетом в $9 млн. Одновременно было начато строительство центра IT-безопасности в Солт-Лейк-Сити. Он обойдется в $1,5 млрд. Информация о центре засекречена, известно лишь, что «важнейшую поддержку национальным приоритетам в кибербезопасности» будут оказывать от 100 до 200 человек. Ранее глава Агентства национальной безопасности США Кейт Александер говорил, что кибервойска в США надо разделить на оборонительные и наступательные.
Однако самое жесткое предложение внесла Парламентская ассамблея НАТО: приравнять в будущем виртуальную войну к обычной. И тогда в случае виртуального нападения на одну из стран альянса, все страны НАТО в соответствии со статьей №5 своего устава должны будут выступить против агрессора.
Кое-что в этом направлении уже делается. В 2008 году в Эстонии был создан Центр компетенции НАТО по борьбе с кибертерроризмом, а вскоре США предложили создать на его базе лабораторию экспертизы киберпреступлений по стандартам ФБР, а также международный учебный центр. В 2010 году по предложению Эстонии страны ЕС проведут совместные учения по противодействию киберпреступности.
Денис Лавникевич
В первых числах декабря парламентская ассамблея Североатлантического альянса одобрила доклад «НАТО и киберзащита». В нем, помимо прочего, приводится пример кибератаки, проведенной против Эстонии весной 2007 года. Злоумышленники воспользовались тем, что к тому моменту Эстония уже давно перешла на электронный документооборот. В результате атаки работа всего госаппарата страны была полностью парализована. Другие, более поздние примеры из того же ряда, - атака на сайт правительства Грузии в августе 2008 года и нападение «пророссийских хакеров» на Литву в тот момент, когда она наложила вето на переговоры между Россией и ЕС. По мнению авторов доклада, если даже российское правительство и непричастно к данным действиям, то оно ничего не сделало, чтобы эти атаки предотвратить.
Неуловимая RBN
Впрочем, в отличие от большинства предыдущих обвинений, в нынешнем докладе НАТО назван конкретный подозреваемый. Им стала неизвестная прежде виртуальная структура Russian Business Network (RBN), которая, якобы, и стоит за многочисленными DDoS-атаками последних лет. Как следует из все того же доклада НАТО, российские хакеры далеко не всегда устраивают по заказу Кремля политические киберпровокации. Более опасно то, что эти полумифические хакеры связаны с организованными преступными группами, которые взламывают информационные системы западных банков, вскрывают пароли кредиток, а также крадут персональные данные клиентов банков и пользователей платежных систем.
Россияне на выдвинутые обвинения ответили, что в ходе кибератаки на Эстонию 60% трафика шло с территории США, 30% - из Китая и только 10% - из России. Российские IT-эксперты считают, что заявления о русском следе, сделанные сразу после DDoS-атак властями Грузии и Эстонии, неубедительны. Впрочем, всем понятно: то, что Эстонию атаковали преимущественно с американской территории, ничего не доказывает. Неважно, где расположен компьютер — важно, где находится злоумышленник, управляющий ботнетом. Злоумышленнику даже предпочтительнее использовать IP-адреса пользователей из той страны, которая должна попасть под подозрение в ходе расследования.
Как рассказал старший специалист компании McAfee Франсуа Паже, серверы загадочной Russian Business Network находятся в Панаме. Деятельность RBN началась в 2007 году — тогда RBN выступала как хостинг-провайдер и предлагала клиентам «непробиваемый» хостинг за $600 в месяц. То есть гарантировала, что информация о клиентах не будет выдана, каким бы бизнесом они ни занимались. Напомню, что конфиденциальные данные о клиентах хостинг-провайдера обычно можно получить только по решению суда. Но к какому суду обращаться в случае обнаружения криминальной деятельности, ведущейся с серверов RBN? К панамскому?
Наиболее активно расследованием деятельности Russian Business Network занимались спецслужбы Великобритании. В британских криминальных сводках создателем RBN называется человек, действовавший в Сети под ником Flyman. Но в среде хакеров популярностью пользуется версия о киберкриминальном «авторитете» по прозвищу Абдула. Считается, что контролируемые им серверы располагались в Китае, Турции, Сингапуре, Панаме, Пакистане, Таиланде, Малайзии и США.
Распространена также версия о том, что создателем RBN был выходец из Беларуси, сын милиционера Александр Рубацкий. Сначала Рубацкий работал в команде местного торговца детской порнографией, а затем отправился в свободное плавание, начав также с распространения порно. Созданная им компания проводила платежи через систему «Киберплат». В 2002 году «Киберплат» оказался в центре громкого скандала: шестеро его топ-менеджеров были уволены за обслуживание сайтов с детской порнографией. Именно после этого Рубацкий и занялся новым бизнесом - создал компанию RBN на базе петербургского оператора «Элтел». Впрочем, напомню, это только одна из версий.
До сих пор среди следователей нет единого мнения: была ли RBN настоящей преступной организацией или только «крышей», под которой действовали не связанные друг с другом киберпреступники. По некоторым данным, к концу 2007 года RBN включала 406 mail-адресов и 2090 доменных имен. Однако в начале 2008-го, когда вокруг RBN начался ажиотаж в мировых СМИ, компания как будто исчезла. В любом случае точно известно: RBN была преступной коммерческой организацией, получающей доход от рассылки спама, распространения детского и взрослого порно, онлайн-казино, контрафактных mp3, распространения вирусов и фишинга.
Сегодня один из самых процветающих бизнесов наследников и бывших членов RBN - интернет-аптеки. По данным международной организации SpamHaus, лидер рейтинга криминальных фармацевтов - Canadian Pharmacy. Это сеть по продаже лекарств - несколько десятков виртуальных аптек, ориентированных на продажи главным образом в Северной Америке. Однако головной сайт этой сети не оставляет сомнений в ее русскоязычном происхождении - glavmed.com. Интернет-аптеки собирают заказы, направляют их на «Главмед», откуда обработанные и консолидированные заказы направляются в Индию, где процветает производство контрафактных медикаментов. Координацией спам-рассылок в рамках проекта занимаются два других сайта - spamit.com и spamdot.biz.
По мнению независимых экспертов, 70% спама в СНГ и в мире приходится на группу из 20-25 человек. Сфера интересов спамеров - все, что можно продавать через Интернет. База данных активных e-mail стоит немалых денег — к примеру, миллион почтовых адресов покупателей доступа к порноресурсам стоит $25.000-30.000.
Война уже началась
Официальные представители «Лаборатории Касперского» уже давно заявляют, что единственный эффективный способ борьбы с преступностью в Интернете - создание «интернет-интерпола». Однако пока никакого реального сотрудничества между государствами в виртуальном пространстве нет. А как следует из недавнего доклада компании McAfee о виртуальной преступности, все еще хуже: в мире началась «холодная кибервойна». Основными противоборствующими силами эксперты называют США, Россию, Китай, а также Францию и Израиль.
В уже упоминавшемся докладе НАТО приводится несколько примеров этой «холодной войны». Так, в 2008 году злоумышленники атаковали базы Центрального командования, а до этого регулярно прощупывали компьютерные системы Пентагона, НАСА и Министерства энергетики США. Операцию по выявлению злоумышленников американцы назвали романтично - «Лабиринт лунного света». Однако смогли выяснить только то, что терминал, с которого велись атаки, расположен где-то на территории бывшего СССР. Другой пример — упоминавшийся даже в выступлении Барака Обамы вирус cornficker. Вызванная им компьютерная эпидемия считается самой масштабной с 2003 года; она поразила даже компьютеры военного флота Великобритании и бундесвера. Зараженные cornficker компьютеры организовались в крупнейший в мире ботнет, использовавшийся в DDoS-атаках. Кроме того, cornficker помогал своим создателям зарабатывать, требуя от пользователя купить антивирус, который скачивался с сайта российской партнерской программы Traffic Converter. Вся переписка на сайте велась на русском языке.
А вот еще примеры «боевых действий в киберпространстве», приведенные в докладе НАТО.
В июне 2007 года была взломана сеть Пентагона: 1500 сотрудников остались без электронной почты, а часть внутренней переписки была похищена. Следствие обнаружило, что следы хакеров ведут в Китай. Вскоре в атаках на свои серверы китайцев обвинили Англия, Германия, Франция и Новая Зеландия. В 2009 году британские и канадские IT-эксперты обнаружили хакерскую сеть Ghostnet, взломавшую почти 1300 ПК в министерствах, посольствах и неправительственных организациях в 103 странах мира. Следы снова вели в Китай. Западные эксперты давно подозревают, что это дело рук хакеров из китайской армии, но Пекин отвергает все обвинения.
Весной этого года Южная Корея обвинила КНДР в подготовке к кибервойне. По данным южнокорейской разведки, в Северной Корее существует спецподразделение, в котором работают от 100 до 600 выпускников Пхеньянского университета. Его цели – взлом американских и южнокорейских систем, шпионаж и нарушение работы сетей. Сеул пообещал создать собственное киберкомандование к 2012 году. Спустя полтора месяца после этого сообщения DDoS-атака блокировала 25 правительственных сайтов Южной Кореи и США.
Противомеры
В марте 2010 года откроется правительственный центр кибернетической безопасности Великобритании. Сотрудники центра (19 человек) будут искать потенциальные угрозы IT-инфраструктуре страны и организовывать контратаки. Создание такого центра предусмотрено обновленной стратегией безопасности Великобритании, представленной премьер-министром Гордоном Брауном летом 2009 года. Министр безопасности Лорд Уэст не исключил, что на работу будут приняты бывшие хакеры. «Британия нуждается в молодежи, разбирающейся во всем этом», – заявил он.
В США также принимаются меры по усилению IT-безопасности. 30 октября 2009-го при Министерстве внутренней безопасности был открыт Центр интеграции кибербезопасности и коммуникаций с бюджетом в $9 млн. Одновременно было начато строительство центра IT-безопасности в Солт-Лейк-Сити. Он обойдется в $1,5 млрд. Информация о центре засекречена, известно лишь, что «важнейшую поддержку национальным приоритетам в кибербезопасности» будут оказывать от 100 до 200 человек. Ранее глава Агентства национальной безопасности США Кейт Александер говорил, что кибервойска в США надо разделить на оборонительные и наступательные.
Однако самое жесткое предложение внесла Парламентская ассамблея НАТО: приравнять в будущем виртуальную войну к обычной. И тогда в случае виртуального нападения на одну из стран альянса, все страны НАТО в соответствии со статьей №5 своего устава должны будут выступить против агрессора.
Кое-что в этом направлении уже делается. В 2008 году в Эстонии был создан Центр компетенции НАТО по борьбе с кибертерроризмом, а вскоре США предложили создать на его базе лабораторию экспертизы киберпреступлений по стандартам ФБР, а также международный учебный центр. В 2010 году по предложению Эстонии страны ЕС проведут совместные учения по противодействию киберпреступности.
Денис Лавникевич
Компьютерная газета. Статья была опубликована в номере 48 за 2009 год в рубрике безопасность
