Киберимперия зла
Статья опубликована в журнале «Русский Newsweek» №48 (267) за 2009 год
Новый американский бестселлер, компьютерная игра Call of Duty: Modern Warfare 2, уже заставил Голливуд позавидовать: игрушка собрала фантастическую кассу — $300 млн за сутки с момента запуска. Замысел прост: американцы спасаются от атаки русских террористов. Масштабность катастрофе придает забавный технический прием — в роли американца в игре может выступить только тот, чей компьютер находится на территории США. Весь остальной мир вынужден сражаться на стороне русских.
Тем, что русские злоумышленники берут под свой контроль весь виртуальный мир, уже озаботилась даже НАТО. На прошлой неделе парламентская ассамблея Североатлантического альянса одобрила доклад «НАТО и киберзащита». В ней рассказывается о кибератаке против Эстонии весной 2007 года. К тому моменту Эстония уже давно перешла на электронный документооборот, и в результате атаки работа всего госаппарата на родине скайпа была полностью парализована.
В докладе НАТО также упоминается об атаке против сайта правительства Грузии в августе 2008 года и о нападении «пророссийских хакеров» на Литву в тот момент, когда она наложила вето на переговоры между Россией и ЕС. Российское правительство авторы доклада обвиняют в том, что оно ничего не сделало, чтобы эти атаки предотвратить.
«Это агитка времен холодной войны», — возмущался натовским докладом экс-директор ФСБ депутат Николай Ковалев. Правда, в отличие от большинства предыдущих обвинений, доклад НАТО называет конкретного подозреваемого. Это загадочная киберструктура Russian Business Network (RBN). Якобы она и стоит за DDoS-атаками. Основная претензия к русскоязычным хакерам вовсе не в том, что они устраивают по заказу правительства политические киберпровокации. Если верить докладу НАТО, страшнее то, что эти хакеры связаны с преступными организациями, которые взламывают информационные системы западных банков и вскрывают пароли кредиток. А политикой если и занимаются, то только в свободное время.
Кто напал на Эстонию
От имени России на обвинения ассамблеи НАТО отвечал депутат Ковалев. Он заявил, что в ходе атаки на Эстонию 60% трафика шло с территории США, 30% — из Китая и только 10% — из России. Он все опровергает: «Ни одного доказательства мифической российской киберугрозы и российского следа трансграничных кибератак в докладе нет».
Российские IT-эксперты соглашаются, что заявления о русском следе, сделанные сразу после атак властями Грузии и Эстонии, крайне неубедительны. Поиск злоумышленников в интернете может затянуться на долгие годы. К примеру, в 2006 году в Лондоне осудили группу российских хакеров, которые грабили британские букмекерские конторы, подвергая их DDoS-атакам и требуя выкуп за восстановление нормальной работы. На расследование Интерполу и Скотленд-Ярду потребовалось три года, и для того, чтобы поймать преступника, это нормальный срок, рассказывает Александр Гостев, руководитель центра глобальных исследований и анализа угроз «Лаборатории Касперского».
Тот факт, что Эстонию атаковали преимущественно с американской территории, ничего не доказывает. Неважно, где расположен компьютер. Злоумышленник создает так называемую ботнет из зараженных вирусами машин и затем отдает попавшим под его управление компьютерам-зомби команду разослать спам либо атаковать веб-ресурс. Иными словами, источником вредоносного трафика выступают ничего не подозревающие пользователи. «Злоумышленнику даже предпочтительнее использовать IP-адреса пользователей из той страны, которая должна попасть под подозрение», — говорит Максим Эмм из «Информзащиты».
Гостев говорит, что серверы загадочной Russian Business Network вообще находились в Панаме. Он вспоминает, что «Лаборатория Касперского» столкнулась с RBN в 2007 году. Компания стала замечать, что новые вредоносные программы все чаще исходят из одной площадки. Франсуа Паже, старший специалист компании McAfee, рассказывает, что RBN начинала как интернет-провайдер и предлагала «непробиваемый» хостинг за $600 в месяц. То есть гарантировала, что не выдаст информацию о своих клиентах, каким бы бизнесом они ни занимались. «Конфиденциальные данные о клиентах можно получить только по решению суда, — рассказывает знакомый с ситуацией собеседник Newsweek. — А к какому суду обращаться в случае обнаружения криминальных связей? К панамскому?»
В мировом интернет-сообществе RBN получила грозное прозвище «матери киберпреступности». Больше всего история организации напоминает легендарную «Аль-Каиду». Никто не видел ее основателя, никто не знает ее точного адреса и неясно до конца, существует ли RBN до сих пор или погибла под коллективным натиском правоохранительных органов из разных стран.
Что такое RBN
Лондон первым запаниковал от нашествия «русских хакеров». В британских криминальных сводках создателем RBN значится человек, действовавший в сети под ником Flyman. Среди хакеров популярностью пользуется версия о криминальном киберавторитете по прозвищу Абдула. Два года назад друзья и клиенты Абдулы подарили ему песню. Музыкальный привет с рефреном «Четыре года в деле господин Абдула» написал рэпер по прозвищу Нервный. Самое ценное в песне — полный список стран, в которых располагались серверы RBN: Китай, Турция, Сингапур, Панама, Пакистан, Таиланд, Малайзия и США. «Жалоба, даже самая липкая, здесь никого не е...ет» — так рэпер восхвалял в своей песне конфиденциальность сети.
Источник в хакерской среде рассказывает, что создателем RBN был выходец из Белоруссии Александр Рубацкий. Он родился в семье минского милиционера, однако дело отца не продолжил. Сначала работал в команде местного торговца детской порнографией, а затем отправился в свободное плавание. По слухам, начинал тоже с распространения порно. Основанная им компания проводила платежи через систему «Киберплат». В 2002 году «Киберплат» оказался в центре скандала. Шесть топ-менеджеров компании были уволены за обслуживание сайтов с детской порнографией. После этого Рубацкий якобы занялся новым бизнесом — создал компанию RBN на базе петербургского оператора «Элтел».
К 2007 году RBN превратилась в «преступный интернационал» и приобрела репутацию самой активной преступной группировки в виртуальном мире, считает Паже. Правда, по его словам, среди исследователей нет единого мнения: была ли RBN настоящей преступной организацией или лишь крышей, под которой собирались не связанные друг с другом киберпреступники. Если верить исследованию Дэвида Бизейла, в конце 2007 года RBN включала 406 адресов и 2090 доменных имен. Но вокруг RBN начался невероятный ажиотаж в мировой прессе, и к концу года игроки рынка заметили, что компания как будто исчезла.
Российские власти тоже считают 2007-й годом официальной смерти RBN. Депутат Ковалев на сессии ассамблеи НАТО заявил, что «деятельность этой подпольной организации была пресечена российскими правоохранительными органами совместно с ФБР в ноябре 2007 года». Однако Франсуа Паже убежден, что бывшие клиенты сети легко нашли себе новый хостинг. «Шумиха привела к одному: RBN раздробилась, — согласен Александр Гостев. — Мир получил с десяток RBN, работающих по знакомым схемам». Какое-то время они дислоцировались на серверах в Китае, Турции, на Украине и в Америке. За каждым сервисом стояли выходцы из России.
По мнению Паже, во время кибератаки на Эстонию RBN еще существовала и поэтому операция проводилась именно с этой площадки. Причастность же российских хакеров — наследников RBN к виртуальному нападению на Грузию, по его словам, доказана исследованием американской организацией по изучению киберпоследствий (US-CCU).
Спам: политика и экономика
Политические заказы если и были бизнесом RBN, то все же не основным. Кибергруппировка была коммерческой организацией и получала доход от рассылки спама, распространения детского и взрослого порно, онлайн-казино, mp3, распространения вирусов и так называемого фишинга — воровства паролей и номеров банковских кредиток и дистанционного обворовывания их владельцев.
Один из самых процветающих бизнесов RBN — это интернет-аптеки. По данным международной организации SpamHaus, лидер рейтинга преступных киберсхем — Canadian Pharmacy. На рынке говорят, что это сеть по продаже лекарств — несколько десятков виртуальных аптек, ориентированных на продажи, главным образом в США. Головной сайт этой сети не оставляет сомнений в ее русскоязычном происхождении — glavmed.com. Интернет-аптеки собирают заказы, направляют их на «Главмед». «Центр» собирает заказы, например на виагру, и направляет их в Индию, где размещено производство контрафакта.
SpamHaus обвиняет сеть в том, что, собирая заказы, она рассылает спам по американским почтовым адресам, а кроме того, нарушает авторские права разработчиков препаратов. Владелец сети Игорь Гусев публично отрицал свою причастность к рассылке спама. Координацией спам-рассылок в рамках проекта занимался действительно не «Главмед», а два других сайта — spamit.com и spamdot.biz. Последний, кстати, несколько дней назад прекратил работу и теперь автоматически переадресует пользователей на страницу Федеральной службы безопасности.
«Главмед» возглавил рейтинг SpamHaus около двух лет назад, а до этого в нем лидировал Лев Куваев со своей сетью www.rx-partners.biz. Теперь он на второй позиции. Куваева разыскивает ФБР, американские суды присудили ему штрафов на сумму около $70 млн. В хакерской среде есть версия, что УБЭП Московской области возбуждал в отношении Куваева уголовное дело, но затем закрыл его «по болезни подозреваемого».
70% спама в СНГ да и вообще в мире приходится на группу из 20-25 человек, рассказывает Newsweek Дмитрий Голубов, называющий себя лидером Интернет-партии Украины. Спам — это не только фармацевтика, но и порно, фаллоимитаторы, клубные энергетики, все, что можно продавать через интернет. «Это нормальная диверсификация. База данных активных e-mail стоит денег. Например, миллион почтовых адресов покупателей доступа к порноресурсам стоит $25 000-30 000», — прикидывает Голубов.
О своих прибылях в интернете Голубов предпочитает не рассказывать, хотя он не менее легендарная фигура и тоже ассоциируется с RBN. Компания McAfee называет его кардером номер один в мире. Кардеры — это хакеры, которые специализируются на хищениях с банковских карт. В разговоре с Newsweek Дмитрий Голубов все отрицал: «29 сентября 2009 года Соломенский районный суд города Киева закрыл уголовное дело против меня в связи с отсутствием состава преступления». Голубов говорит, что не знает, что у него есть неприятности с законом за пределами Украины.
Молодые миллионеры
Многие из осколков RBN постигла печальная участь. Они не избежали преследования по новому месту прописки. Например, зарегистрированную в Калифорнии компанию Hoster McColo по ходатайству Федеральной торговой комиссии США (FTC) за спам и массовые DDoS-атаки отключили от интернета. Правда, ее основатель Николай McColo не дожил до разоблачения. Азартный гонщик погиб в 2007 году во время одного из скоростных ночных заездов в Москве, врезавшись в металлический столб.
То же самое случилось с другим филиалом RBN — компанией Atrivo. В прошлом году провайдера лишили лицензии и отключили от интернета по обвинению в распространении порно, вирусов и хищении информации. Под раздачу попала и эстонская «дочка» «матери кибертерроризма» — EstDomains. В 2009 году с подачи FTC канул в Лету хостинг 3FN, русскоязычный сервис, созданный выходцем из Латвии. И наконец, в январе этого года погибла компания «Укртелегруп» — еще один столп киберкриминала. Ее обвинили в создании программы, которая позволяет похищать персональные данные пользователей, в частности финансовые.
В хакерской среде, правда, не верят в кончину RBN. «Дело RBN живет и сейчас, — заверяет один из авторитетных хакеров. — Думаю, за этим до сих пор стоит Рубацкий. Правда, детское порно теперь гораздо сложнее найти в отрытом доступе, нежели раньше».
RBN — это бренд, говорит Максим Эмм из «Информзащиты». По его словам, типовой портрет хакера из этой среды: миллионер в возрасте от 16 до 30 лет, владеющий самой разной недвижимостью в теплых странах. Может быть, даже островом в Тихом океане — там, где есть интернет и нет полиции. Образование в основном техническое или естественно-научное, чаще всего МГУ.
Холодная кибервойна
По словам Александра Гостева из «Лаборатории Касперского», единственным эффективным способом борьбы с преступностью в интернете было бы создание интернет-Интерпола. Однако специалисты сходятся во мнении, что никакого реального сотрудничества между государствами в виртуальном пространстве нет. На прошлой неделе компания McAfee опубликовала свой ежегодный доклад о виртуальной преступности. Главный его тезис — в мире началась «холодная кибервойна». Основными противоборствующими силами эксперты называют США, Россию, Китай, а также Францию и Израиль.
Доклад НАТО приводит несколько примеров этой «холодной войны»: в прошлом году злоумышленники атаковали базы Центрального командования, а до этого регулярно прощупывали компьютерные системы Пентагона, НАСА и Министерства энергетики. Спецоперацию по обнаружению киберпротивника американцы назвали романтично — «Лабиринт лунного света». И пришли к выводу, что терминал, с которого велась атака, дислоцируется на территории бывшего СССР.
Даже американский президент Барак Обама уже осознал опасность русскоязычных хакеров. В своей августовской речи он заявил, что одна из угроз национальной безопасности США — вирус cornficker. Эта компьютерная эпидемия считается самой масштабной с 2003 года, она поразила даже компьютеры ВМС Великобритании и бундесвера. Зараженные cornficker компьютеры стали крупнейшим в мире ботнетом, а эта сеть использовалась в DDoS-атаках. Кроме того, cornficker помогал своим создателям зарабатывать, требуя от пользователя купить антивирус. Он скачивался с сайта российской партнерской программы Traffic Converter. Вся переписка на сайте велась на русском языке.
Одновременно Обама распорядился создать в Министерстве обороны США новый департамент — Киберком, который журналисты уже окрестили киберспецназом. Цена вопроса — от $100 млрд до $1 трлн. Так американские аналитики оценивают ежегодный ущерб от киберпреступности, в том числе и русского происхождения.
Но еще более грозное предложение внесла Парламентская ассамблея НАТО. По мнению Сверре Мырли, автора доклада «НАТО и киберзащита», виртуальную войну в будущем стоит приравнять к обычной. И тогда в случае нападения на одну из стран альянса, пусть и виртуального, все страны НАТО в соответствии с Пятой статьей своего устава должны будут в едином порыве ответить агрессору.
Киберспецназ в разных странах
Китай
В июне 2007 года была взломана сеть Пентагона: 1500 сотрудников остались без электронной почты, а часть внутренней переписки была похищена. Следствие обнаружило, что следы хакеров ведут в Китай. Вскоре в атаках на свои серверы китайцев обвинили Англия, Германия, Франция и Новая Зеландия. В 2009 году британские и канадские IT-эксперты обнаружили хакерскую сеть Ghostnet, взломавшую почти 1300 компьютеров в министерствах, посольствах и неправительственных организациях в 103 странах мира. Следы снова вели в Китай. Западные эксперты давно подозревают, что это дело рук хакеров из Народно-освободительной армии, но доказать это не могут. Пекин отвергает все обвинения.
КНДР
Весной этого года, едва подписав с США меморандум о взаимопонимании в сфере компьютерной безопасности, Южная Корея обвинила КНДР в подготовке к кибервойне. По данным южнокорейской разведки, в Северной Корее существует спецподразделение, в котором работают от 100 до 600 выпускников Пхеньянского университета. Его цели — взлом американских и южнокорейских систем, шпионаж и нарушение работы сетей. Сеул пообещал создать собственное киберкомандование к 2012 году. Спустя полтора месяца после этого сообщения DDoS-атака блокировала 25 правительственных сайтов Южной Кореи и США.
США
Одним из предвыборных обещаний Барака Обамы было усиление IT-безопасности США. 30 октября при Министерстве внутренней безопасности был открыт Центр интеграции кибербезопасности и коммуникаций с бюджетом в $9 млн. Одновременно власти заявили о начале строительства центра компьютерной безопасности в Солт-Лейк-Сити. Он будет стоить американским налогоплательщикам $1,5 млрд. Информация о центре засекречена, известно лишь, что «важнейшую поддержку национальным приоритетам в кибербезопасности» будут оказывать от 100 до 200 человек. Ранее глава Агентства национальной безопасности США Кейт Александер говорил, что кибервойска в США надо разделить на оборонительные и наступательные.
Великобритания
В марте 2010 года откроется правительственный центр кибернетической безопасности Великобритании. Сотрудники центра — 19 человек — будут искать потенциальные угрозы инфраструктуре Королевства и организовывать контратаки. Создание центра предусматривает обновленная стратегия безопасности Великобритании, представленная премьер-министром Гордоном Брауном летом этого года. Министр безопасности Лорд Уэст не исключил, что на работу будут приняты бывшие хакеры. «Британия нуждается в молодежи, разбирающейся во всем этом», — заявил он.
Эстония — НАТО
После атаки хакеров на эстонские веб-сайты во время конфликта вокруг Бронзового солдата в 2007 году Эстония стала флагманом борьбы с кибертерроризмом в ЕС и НАТО. Спустя год в Таллине был создан Центр компетенции НАТО по борьбе с кибертерроризмом, а вскоре США предложили создать на его базе лабораторию экспертизы киберпреступлений по стандартам ФБР, а также международный учебный центр. В 2010 году по предложению Эстонии страны ЕС проведут совместные учения по противодействию киберпреступности.
Как выходцы из СНГ и Балтии воровали с карточных счетов
1998 год
Состоялся суд по делу петербуржца Владимира Левина. В 1994 году он проник в систему Ситибанка и попытался вывести со счетов его клиентов в общей сложности $12 млн. В 1995 году Левин был арестован в Лондоне в результате совместной операции ФБР, британской полиции и РУОП Санкт-Петербурга. Его приговорили к 36 месяцам тюрьмы, но с учетом времени, проведенного под арестом в Англии и США, Левин был выпущен и депортирован в Россию.
2002 год
К трем годам тюрьмы и $700 000 штрафа приговорен хакер из Челябинска Василий Горшков, его напарник Алексей Иванов получил четыре года. Они признаны виновными в хищении почти $25 млн, обмане компаний PayPal, Speakeasy.net, CTF, лос-анджелесского отделения Nara Bank, а также краже более 15 000 номеров кредитных карт из Western Union. Чтобы арестовать челябинских хакеров, ФБР создало фиктивную компанию «Инвита», которая заманила россиян в Америку заказом на работу.
2004 год
Арестованный во время отпуска на Кипре украинец Роман Вега (akaBoa), он же Роман Степаненко, был экстрадирован в США, где ему предъявили обвинение по 40 пунктам. Вега — создатель веб-сайта Boa Factory, где продавались пластиковые карточки или данные с них, дорожные чеки и поддельные документы. Степаненко — второй человек в иерархии русскоязычных кардеров, работавший вместе с Дмитрием Голубовым. Сейчас он отбывает наказание в американской тюрьме.
2005 год
В Одессе задержан Дмитрий Голубов (aka Script), «крестный отец» русскоязычного кардинга начала 2000-х, создатель виртуальной корпорации CarderPlanet, в которой состояли около 7000 кардеров. Они украли из мировых банков десятки миллионов долларов. Впрочем, к этому времени Script закрыл CarderPlanet, испугавшись ареста своего напарника Степаненко. Судили Голубова в Киеве, но дело развалилось. Ныне он — глава Интернет-партии Украины.
2008 год
25-летний москвич Игорь Клопов, укравший $1,5 млн со счетов американцев и осужденный на 10,5 лет тюрьмы, после оглашения приговора пообещал судье исправиться и возместить убытки. Клопова поймали, когда он приехал в США за золотом по фальшивому чеку на $7 млн.
2009 год
26-летний харьковчанин Максим Ястремский (aka Maksik) взломал более 50 000 кредитных карт граждан США, ЕС и Турции и заработал таким образом около $11 млн. Но был задержан во время отпуска в Кемере и спустя два года осужден на 30 лет. Вместе с Максиком задержали израильского хакера Максима Турчака, но ему обвинений не предъявили.
2009 год
Американская полиция раскрыла банду хакеров, которые взломали систему безопасности филиала Royal Bank of Scotland в Атланте и получили доступ к зарплатным карточкам клиентов банка. Преступники изготовили дубликаты карточек и по украденным пин-кодам за 12 часов украли $9,5 млн из 2100 банкоматов 280 городов мира. Исполнители оставляли себе 30-50% суммы, а остальное отправляли организаторам через Western Union и WebMoney. Хакерам Сергею Цурикову из Таллина, Виктору Плещуку из Санкт-Петербурга и Олегу Ковелину из Кишинева грозит до 20 лет тюрьмы. Впрочем, их еще должны поймать и экстрадировать в США