Trend Micro сообщает, что печально известная компания Russian Business Network неожиданно вышла за пределы Санкт-Петербурга и России, распространив свою активность на новые IP-адреса на территории Китая и Тайваня.
Специалисты по безопасности сообщили, что вечером 6 ноября российский провайдер, известный своей лояльностью по отношению к криминальным проектам, неожиданно исчез. На 8 ноября IP-адреса RBN были недоступны. Фейк Хакуэборд (Feike Hacquebord) из Trend Micro считал, что компания временно или навсегда прекратила предоставлять
интернет-услуги. На несколько минут исследователям Trend Micro показалось, что Интернет наконец-то станет немного безопаснее, однако их радость была недолгой.
Пол Фергюсон (Paul Ferguson), специалист Trend Micro, сообщил, что компания зафиксировала активность, очень похожую на действия RBN, на блоках IP-адресов, зарегистрированных в Китае и других странах, сразу после того, как RBN закрыла доступ к своим адресам в Петербурге. Фергюсон говорит, что назвать конкретного владельца адресов пока нельзя, однако его деятельность очень похожа на ту, что происходила в рамках RBN, включая рассылку вредоносного ПО.
С новых адресов в том числе распространяются опасные трояны MPack и Icepack, определяющие тип операционной системы пользователя, его браузер и собирающие другую информацию, которую может использовать взломщик. Эти трояны и ранее рассылались пользователями RBN, однако теперь их зафиксировали на
китайских IP-адресах.
Специалисты Trend Micro заявляют, что ссылки, размещенные в HTML-коде зараженных сайтов, ведут на вновь зарегистрированные китайские адресам. Фергюсон сообщает, что некоторые из них используют те же настройки DNS, что и исчезнувший RBN.
Представители Trend Micro считают, что решение RBN продиктовано тем, что компания хочет подождать, пока слухи вокруг ее деятельности немного поутихнут. Похоже, что российские власти не приложили особых усилий к прекращению работы RBN. Криминальная сеть сильно сегментирована и состоит их сотен криминальных группировок, которые совершают разнообразные преступления в киберпространстве - распространяют детскую порнографию, воруют номера кредитных карт и данные о банковских
счетах, предоставляют хостинг для хакеров и т.д. Фергюсон говорит, что активность представителей RBN заметна по всему миру - от
США до Индии.
Если не российские правоохранительные органы, то кто же мешает деятельности RBN? Фергюсон считает, что у RBN не могло возникнуть проблем технического характера. Trend Micro является одной из многих компаний, которые пытаются предотвратить поток спама, блокируя хакерские IP-адреса RBN и ее партнеров. Однако
регистрация блока IP-адресов означает, что злоумышленники получат новые возможности для того, чтобы обойти фильтры.
Это первый случай, когда RBN пришлось сменить IP-адреса. Однако это операция явно была совершена намеренно, а подготовка к ней велась основательно и без спешки. Эксперты сообщают, что компания давно готовилась к такому шагу, рассчитывая его эффективность. В прошлом году RBN провела своеобразную репетицию, зарегистрировав несколько новых адресов в Германии. Специалисты говорят, что адреса были зарегистрированы с помощью российской компании, для которой были указаны фальшивые данные.
Переезд был поэтапным и контролируемым, а RBN сумела основательно проверить эффективность этого метода до того, как сменила свои основные адреса. Фергюсон считает это очень эффективной стратегией диверсификации. Адреса, используемые RBN, стали слишком узнаваемыми, поэтому настало время их поменять. Он проводит аналогию с ботнетами. Если большие хакерские сети из зараженных машин довольно легко обнаружить, то маленькие многочисленные ботнеты ликвидировать куда сложнее.
RBN становится совершенней, постоянно расширяя свою сферу влияния. Главный аналитик Trend Micro Джамс Янеза (Jamz Yaneza) считает, что это затишье перед бурей. "RBN постоянно меняет тактику и топологию своих сетей, а также внимательно следит за теми, кто пытается выйти на след хакеров", - говорит он. Кроме того, Янеза считает, что переезд в Китай открывает перед RBN новые возможности. В этой стране высокий уровень компьютерного образования, несовершенные законы и обилие пиратского ПО, что создает идеальные условия для хакеров. "Там очень просто создать и замаскировать масштабный ботнет", - уверен он.