Home»IT&C » Imperiul cel rău

Imperiul cel rău

2010-01-19 00:00  Money Express

de Iulia Taratuta, Igor Ivanov, Svetlana Zaitseva, Mihail Zigar

Au reușit hackerii ruși să fure anul trecut zeci de milioane de dolari de la Citigroup? În timp ce „Wall Street Journal“ scria, în decembrie, că FBI investighează presupusele pagube, organizația financiară nega că ar fi pierdut vreun ban printr‑o asemenea breșă a sistemului său de securitate informatică. S‑ar putea să mai dureze până vom afla care este adevărul, dar știrile despre atacul hackerilor ruși pun din nou reflectorul pe universul tenebros al criminalității pe Internet.

OMUL NOSTRU DIN PANAMA. Atacurile pot părea politice. În 2007, un asalt cibernetic împotriva Estoniei, țara popularei companii de telefonie prin Internet Skype, a paralizat întregul guvern al micului stat baltic. Apoi, când s‑a aprins conflictul ruso‑georgian din 2008, oricine a vrut să‑și susțină propriul război cibernetic împotriva capitalei georgiene Tbilisi a avut acces la programele necesare. Peste puțin timp, în același an, și Lituania a devenit victimă cibernetică, după ce și‑a manifestat dreptul de veto la negocierile dintre Rusia și Uniunea Europeană. Nu întâmplător, NATO ia foarte în serios amenințările cibernetice și a prezentat un raport special pe acest subiect la adunarea parlamentară din octombrie trecut. „Deși nu există dovezi convingătoare că atacurile cibernetice asupra Georgiei au fost executate sau autorizate de guvernul rus“, spune raportul NATO, „nu există nici dovezi că guvernul a încercat să le oprească“.

Deputatul rus Nikolai Kovaliov (fost șef al FSB, urmașa KGB – n.r.) respinge mânios aceste declarații, pe care le califică drept propagandă demnă de epoca Războiului Rece.

„Raportul nu conține nici o singură dovadă privind mitica amenințare cibernetică rusească sau o pistă rusească a atacurilor cibernetice transfrontaliere“, spune el. Totuși, NATO înclină să creadă că – oficial sau nu – atacurile au în comun ceva rusesc: Russian Business Network (RBN), o structură cibernetică din umbră, despre care se spune că a vândut dispozitive și programe pentru hackerii ce voiau să acceseze sistemele de computere ale guvernului SUA. Potrivit investigatorilor NATO, actele de subversiune politică sunt, pentru acești hackeri, mai mult o activitate secundară. Obiectivul lor real: să fure bani prin fraudă, prin spam și prin infiltrarea în rețelele informatice ale băncilor occidentale.

RBN, despre care se spune că a fost înființată de o persoană cu identitatea „Flyman“, este cunoscută în rândul investigatorilor online drept mama criminalității cibernetice. François Paget, expert senior la compania de securitate informatică McAfee, afirmă că RBN și‑a început activitatea ca furnizor de Internet, oferind găzduire „impenetrabilă“ pentru 600 de dolari pe lună. Asta presupunea garanția că va păstra secrete informațiile despre clienți, indiferent de afacerile lor. Aleksandr Gostev, director la Kaspersky Lab, un centru global de cercetare și analiză a amenințărilor informatice, crede că serverele RBN erau în Panama. „Date confidențiale despre clienți pot fi obținute doar printr‑o decizie judecătorească“, explică o sursă „Newsweek“, familiară cu situația. „Dar la ce instanță de judecată să te adresezi dacă descoperi legături infracționale? Uneia panameze?“

CARDER POLITICIAN. Paget afirmă că RBN era cunoscut în trecut drept cel mai activ grup infracțional din lumea virtuală. Investigatorii nu sunt siguri dacă RBN era o organizație criminală în sine sau doar oferea un adăpost virtual bandelor cibernetice. Potrivit unui studiu, la sfârșitul lui 2007, rețeaua deținea 406 adrese și 2090 de nume de domenii. În același an, grupul – vânat atât de agențiile guvernamentale ruse, cât și de cele americane – pare să fi dispărut. Ceea ce poate fi o iluzie. Poate că RBN a pierit, dar organizația a dat naștere mai multor progenituri ale răului, operate de expați ruși și care se desfășoară pe servere din China, Turcia, Ucraina și Statele Unite. „Lumea s‑a căptușit cu vreo 10 RBN“, spune Gostev.

Versiunea originală a organizației s‑a aflat în spatele atacului cibernetic împotriva Estoniei, susține Paget de la McAfee, și, potrivit unui studiu al US Cyber Consequences Unit (US‑CCU), unul din succesorii ei s‑a aflat în spatele asaltului virtual împotriva Georgiei. Totuși, se bănuiește că banii adevărați ai RBN provin din surse ce includ spamul, pornografia cu minori, cazinourile online și frauda de tip phishing prin care se fură parolele conturilor bancare și datele despre carduri. Una din afacerile cele mai prospere ale grupului este cea cu farmacii virtuale, ce vând copii ieftine ale unor produse cunoscute. După câte se pare, adresele celor care fac comenzi pe site‑urile dedicate sunt recoltate și vândute către spameri, care îi inundă apoi cu oferte pentru orice, de la medicamente la pornografie. Potrivit lui Dmitri Golubov, care se descrie drept liderul Partidului Internet al Ucrainei, un grup de 20–25 de persoane este responsabil pentru aproximativ 70% din spamul mondial. „O bază de date cu e‑mailuri active costă“, spune Golubov. „De exemplu, un milion de adrese ale unor cumpărători de acces la resurse pornografice costă între 25.000 și 30.000 de dolari“.

Golubov preferă să nu discute despre profitul pe care îl obține de pe Internet, deși se spune despre el că a făcut parte din RBN. Compania McAfee îl consideră carderul – hacker care fură de pe cardurile bancare – nr. 1 din lume. Totuși, într‑o discuție cu „Newsweek Russia“, Dmitri Golubov a negat totul. „Pe 29 septembrie 2009, instanța Sectorului Solomensky din Kiev a închis procesul penal împotriva mea pentru lipsa corpului delict“, spune el, adăugând că nu știe dacă în afara Ucrainei are vreo problemă cu legea.

BOȚI PENTRU ZOMBI. La fel ca versiunea originală, multe din spinoff‑urile RBN se află sub supraveghere. Compania Hoster McColo, înregistrată în California, a fost scoasă din mediul online după ce a primit o citație de la Comisia Federală pentru Comerț a SUA (FTC) pentru spam și pentru ceea ce este cunoscut drept atac DDoS (distributed denial of service, adică atacuri distribuite în Internet care blochează computerele afectate – n.r.). Fondatorul companiei, Nikolai McColo, murise în timpul unei curse de mare viteză în 2007 la Moscova, într‑o noapte, când mașina în care era s‑a lovit cu 200 km/h de un stâlp de pe trotuar. Altui afiliat RBN, compania Atrivo, i s‑a revocat autorizația de funcționare și a fost deconectat de la Internet pe baza unor acuzații de diseminare de pornografie, viruși și furt de date. EstDo­mains, o subsidiară estonă a „mamei terorismului cibernetic“, a avut parte de o deconectare similară, la inițiativa FTC, atunci când i‑a fost închisă gazda – 3FN, un serviciu în limba rusă înființat de o persoană născută în Letonia. Iar la începutul lui 2009, compania Ukrtelegrup, alt pilon al fraudelor pe Internet, s‑a dus pe copcă. Fusese acuzată de crearea unui program ce permitea furtul datelor personale ale utilizatorilor, inclusiv informații financiare.

Cu toate acestea, comunitatea hackerilor nu crede că RBN a pierit. „Cauza RBN trăiește în continuare“, insistă un membru autoritar. Cu siguranță, cauza contează mai mult decât adresa. După atacul împotriva Estoniei, deputatul rus Kovaliov observa mânios că 60% din traficul distructiv provenea din Statele Unite și 30% din China. Doar 10% pornea din Rusia, a spus el. Dar faptul că Estonia a fost atacată în principal de pe teritoriul SUA nu înseamnă că vinovații se aflau pe sol american. De fapt, hackerii pot opera de oriunde. Prin intermediul virușilor, hackerii creează rețele de tip „bot“ (termenul vine de la robot și desemnează orice tip de software autonom ce operează ca un agent infiltrat asupra unui program/utilizator sau simulează o activitate umană– n.r.) care utilizează PC‑uri zombi din diverse țări ca să trimită spam sau să contribuie la un atac cibernetic.

Cu alte cuvinte, utilizatori inocenți devin sursă de trafic disruptiv – iar distanța fizică nu mai oferă nici o protecție împotriva fraudelor sau a actelor de subver­siune politică.

---

Rețeta online

Farmaciile virtuale reprezintă una dintre afacerile cele mai prospere ale hackerilor de la Russian Business Network. Sursele de pe piață afirmă că este vorba de o rețea de vânzări ce cuprinde câteva zeci de site‑uri ce se adresează mai ales clienților din SUA.

1. NADA CANADA. Organizația internațională Spamhaus consideră că cel mai important propagator de fraude cibernetice cu medicamente este Canadian Pharmacy.

2. RUSIA ȘI INDIA. În final, cele mai ­multe comenzi sunt preluate de site‑ul ­glavmed.com – un nume vădit rusesc. Se spune că medicamentele contrafăcute sunt produse în India.

3. SPAMUL FINAL. Investigatorii consideră că adresele celor care fac comenzi pe aceste ­site‑uri farmaceutice sunt recoltate și vândute către spameri.

---

Numele spamului

Bandele de hackeri fac bani nu doar prin jefuirea conturilor electro­nice, ci și prin spam. Spamhaus Project, o organizație non‑profit bri­tanico‑suedeză ce lucrează de 11 ani cu agențiile globale de aplicare a legii, actualizează în mod regulat lista cu cei mai insistenți spameri.

1) Canadian Pharmacy (Ucraina/Rusia)
Spamul farmaceutic s‑a intensificat în timpul pandemiei de gripă porcină – în cea mai mare parte, este vorba de reclamă pentru vaccinul Tamiflu contrafăcut. Infectate cu un troian, computere zombi (ale unor inocenți) trimit zeci de mii de mesaje spam în fiecare zi.

2) Leo Kuvayev, alias BadCow (Rusia)
Rusul de 36 de ani este căutat de FBI și de poliția britanică. I se spune regele spamului mondial: a fost primul care a ascuns mesaje în fișiere grafice, pentru a ocoli filtrele de securitate informatică, și viruși pentru a crea rețele zombi. Se spune că Kuvayev se ocupă în principal de spam farmaceutic și pornografic.

3) HerbalKing (India/Noua Zeelandă)
Grupare responsabilă pentru o treime din spamul trimis în SUA în 2008, prin intermediul unei rețele de boți cu peste 35.000 de computere. Obiectul principal de activitate – medicamente din India și site‑uri porno. Operațiunile HerbalKing au fost suspendate, iar liderul său, neozeelandezul Lance Atkinson, a declarat că este gata să plătească o amendă de 92.715 de dolari.

4) Vincent Chan, alias yoric.net (Hong Kong)
Chan și tovarășii săi din China sunt specializați în mesaje medicale, dar promovează și ceasuri, cartușe de imprimantă și ipoteci. În 2004–2005 au folosit serviciul gratuit de găzduire web Yahoo! Geocities, creând pagini care îi trimiteau automat pe vizitatori către site‑urile web la care făceau publicitate.

5) Aleksei Polyakov, alias Alex Blood (Ucraina)
Nimeni nu știe dacă numele ucrainea­nu­lui este într‑adevăr Alex Polyakov sau și‑a luat acest pseudonim din cartea lui John Le Carré „Tinker, Tailor, Soldier, Spy“. Este descris ca fiind specialist în pornografia cu minori și unul dintre cei mai importanți distribuitori de troieni.

6) Nikhil Kumar Pragji, alias Dark‑Mailer (Australia)
Acest australian este creatorul programului Dark‑Mailer, care permite transmiterea a 500.000 de mesaje pe oră și, potrivit utilizatorilor, se distinge printr‑o interfață convenabilă. Se recomandă ca programul să fie descărcat contra plată – 499 de dolari – deoarece versiunile gratuite conțin troieni.

7) Piotr Levașov, alias Peter Severa (Rusia)
Creator de troieni și de programe pentru spam, a devenit cunoscut publicului în 2008, în timpul procesului grupării de spameri a lui Alan Ralsky din Detroit, cea mai mare din SUA. Nouă membri ai bandei au fost arestați, împreună cu Ralsky, dar nu și Severa, despre care se crede că trăiește acum în Rusia și continuă să lucreze împreună cu hackerii.

8) Yambo Financials (Ucraina)
Această mare organizație dedicată spamului se ocupă practic de orice, inclusiv de pornografie cu minori și animale, promovarea de software și medicamente piratate. În plus, ucrainenii furnizează „serivicii financiare“ ­printr‑o bancă inventată de ei.

9) Ruslan Ibraghimov, alias send‑saf.com (Rusia)
Autor de programe pentru spam și de viruși. Lucrează prin intermediul unor servere rusești. În plus, vinde ­altor spameri liste de computere recent infectate.

10) Rove Digital (Estonia/Rusia)
Este un parteneriat înființat la Tartu în 2002, iar patru ani mai târziu a fost recunoscut drept cea mai bună firmă de IT din Estonia. Firma a fost închisă în 2008, iar directorul ei, Vladimir Tstastsin, a fost condamnat pentru fraude ban­care. Presa estonă a scris că Rove Digital a făcut spam „de milioane“. Tstastsin a încercat să transfere vina către un moscovit pe nume Mihail, care nu a fost găsit.