Gigavállalkozás az internet sötét oldalán

Fiatalok, profik, és olyat tettek le az asztalra, ami kis túlzással forrradalmasította az internet egyik jelentős forgalmat kitevő ágát. A jelenséget hosszú cikksorozatban tárgyaló CIO.com az üzleti életben divatos szófordulattal jellemezte tevékenységüket: nem pusztán terméket kínáltak, hanem komplett szolgáltatást.

Hogy mire? Olyan dolgokra, amitől egy átlagos internet-felhasználó hátán feláll a szőr, bankszámlája rejtélyes módon leapad, amitől bankigazgatók és online válallkozások vezetői kapnak migrént, a számítógépes szakemberek sürgető megbízásokat, egy-egy számítógép, szerver vagy épp honlap megtisztítására, nagy szofvergyártók pedig sürgős feladatot egy-egy programban bennemaradt biztonsági rés befoltozására.

A SecureWorks nevű internet-biztonsággal foglalkozó cég egyik munkatársát tavaly decemberben kérte meg egy ismerőse arra, nézze meg mi lehet egy bizonyos gyanús fájl a számítógépén. A szakember három napon keresztül fejtette vissza a program kódját, majd felfedezte, hogy az egy távoli IP-címmel kommunikál. A férfi nem habozott, körülnézett a szerveren.

Zombihadsereg

Meglepő dolgokat talált: több mint tízezer internetes személyi azonosítót, amelyet 5200 feltört számítógépről szipkáztak le trójai programok segítségével. Az adatok értéke a kétmillió dollárt is elérhette a feketepiacon. A Gozinak elkeresztelt trójai program a CIO.com szerint nem kevesebbet jelképezett, mint azt a nagyságrendbeli különbséget, ami a kisebb bandák által elkövetett bankrablások, és a drogszindikátusok uralta kábítószer-kereskedelem között van.

Ez volt a 76service.com, ahol a megfelelően lekáderezett ügyfél - jó pénzért - nem csak már megszerzett adatokat kapott - például banki azonosítókat -, hanem meghatározott időre meghatározott számú, mit sem sejtő tulajdonosaik tudta nélkül trójai programok által zombivá - távolról irányíthatóvá, és kiszolgáltatottá - változtatott pécéket. A 76service.com szolgáltatását igénybe vevők pedig kedvükre mazsolázhattak a rendelkezésükre álló adatokból. Ha akarták, kiüríthették az illető számítógép gazdájának bankszámláját, kéretlen levelek tömegét zúdították a címlistáján található emailcímekre, vagy nagy mennyiségű egyidejű adatlekéréssel béníthattak le tetszőleges szervereket.

Az oldal fejlesztőjeként a hírhedt HangUp Teamet azonosította a SecureWorks munkatársa. A három észak-oroszországi, arhangelszki fiatal (Alekszej Galajko, Ivan Petricsenyko, Szergej Popov) által alapított csoport számos malware - férgek, trójaiak és hátsóajtó programok, illetve a hálózati feltörésekhez alkalmazott, programhibákat kihasználó ún. "exploit" kódok - létrehozásáért felelős. 2000-ben le is tartóztatták, majd próbára bocsátották őket. A Kaspersky vírusszakértői szerint a csoporthoz azóta sokan csatlakoztak Ororszországból és a világ minden részéből.

A csoport eleinte magukat a rosszindulatú programokat árulta, darabjukat 1000-3000 dollárért, és csak később alakította ki a komplett szolgáltatást, akkor már egy-egy friss zombigép darabjáért kértek 1000 dollárt. Ilyen illegális tevékenységet azonban nem könnyű hétköznapi internetes szolgáltatónál működő szervereken folytatni. Ehhez olyan tárhelyre volt szükségük, amelyet nem tudnak a hatóságok lekapcsoltatni.

Golyóálló szerverek

Ezt pedig egy homályos orosz társaság, a szentpétervári Russian Business Network (RBN) biztosította. Vezetője a csak Flyman becenéven emlegetett állítólag 24 éves figura, aki a feltételezések szerint egy befolyásos nagyhatalmú orosz politikus unokaöccse. A 2006-ban alapított társaság eleinte javarészt legális tevékenységet folytatott, ám utóbb már underground internetes faliújságokon hirdette "golyóálló" adattárolási szolgáltatásait. A golyóálló itt azt jelentette, hogy az illegális tevékenységet folytató ügyfélnek nem kellett attól tartania, hogy a hatóságok lekapcsolják szervereit. Akik a szolgáltatást igénybe kívánták venni, azoknak a piaci ár tizszeresét kellett megfizetniük, és azt is be is kellett bizonyítaniuk, hogy semmi közük nincs a hatóságokhoz. Többnyire úgy, hogy maguk is felfedték, milyen számítógépes bűncselekményeket követtek el.

Egy feltört bank oldala

A társaság azonban túl nagyra nőtt. A Symnatec szerint szervereiken folyt az illegális internetes tevékenység nagy része, például az összes adathalászat fele. A Team Cymru kutatói szerint az internetes bűnözés 60 százaléka itt kapott helyet. Ez egyre többeknek szúrt szemet. A VeriSing, a világ egyik legnagyobb, internetes biztonsági cége nyáron jelentést is kiadott az RBN-ről,amelyben "a rosszak közül is a legrosszabbnak" nevezték. A jelentés szerint az RBN szerverein szinte kizárólag illegális internetes tevékenység folyt: adathalászat, zombipécéhálózat-irányítás, DDoS-támadások, vírusterjesztés.

"Szó szerint menedéke volt minden jogsértő tevékenységnek, legyen az gyermekpornó, internetes csalás, kalózkodás, és más tiltott dolgok" - idézte a The Washington Post a Symantec elemzőit.

Nem is létezik

Nem véletlen, hogy iInternetbiztonsággal foglalkozó kisebb-nagyobb cégek tucatjai és titkosszolgálatok eredtek a nyomukba. Hiába azonban a külföldi felkérések, hivatalosan soha nem sikerült elérni, hogy az orosz hatóságok fellépjenek ellenük. Honlapok ezrei regisztrálták magukat szerverein, ám magát a társaságot soha, sehol nem jegyezték be, jogi értelemben nem is létezik. Ettől eltekintve sem egyszerű a mögötte álló személyek elleni eljárás, mivel ők maguk konkrétan nem folytatnak illegális tevékenységet, épp csak helyet biztosítottak azoknak, akik igen. Ráadásul elsősorban külföldre irányul a törvénysértő tevékenység.

Az adathalászaton kívül olyan támadásokat kapcsolnak az RBN-hez, mint az Oroszország és Észtország közötti diplomáciai bonyodalmat okozott tallini szovjet háborús emlékmű áthelyezése idején az észt kormányzati szervereket megbénító, zombigépekről indított tömeges adatlekéréses támadás (DDoS) idén tavasszal. Ezen kívül török és brazil kormányzati honlapokat megbénító hasonló akciók is indultak az RBN hálózatáról, de innen törték fel idén nyár végén a Bank of India honlapját is, és csalták ki a bank számos gyanútlan, hamis honlapra irányított ügyfelének azonosítóit.

A nyári VeriSign-jelentés, majd a szaksajtóban, illetve nagy lapokban megjelent cikkek tucatjai nyomán azonban egyre nagyobb figyelem összpontosult rájuk. A The Washigton Post egy szeptemberi írásában idézte a vírusszakértők jelentését, illetve az író közzétette azoknak az internetes szolgáltatóknak a neveit is, akik valamilyen üzleti kapcsolatban álltak velük. Sok szolgáltató - idén októbertől nagyobb mértékben is - elkezdte blokkolni az általuk üzemeltetett szerverekről érkező forgalmat.

Rájuk álltak

Az RBN és a hozzá kapcsolódó honlapok figyelésére szinte teljes internetbiztonsági melléküzemág létesült, akik a csoport után szaglásznak, és minden olyan gyanús tevékenységet honlapot, IP-címet jelentenek, ami hozzájuk kapcsolható.

Novemberben aztán a társaság magától kapcsolta le szervereit az internetről. Ám az ellenük küzdők résen voltak, és kiszagolták, hogy egy olasz fedőcégen keresztül, kínai szervereken próbálkoznak tovább. Amikor ezt nyilvánosságra hozták, az őket kitartóan figyelő blogok és számítógépes biztonsági cégek, megint eltűntek az internetről. Szakértők szerint a társaság decentralizált tevékenységgel fog visszatérni.

Az orosz csoport mögött álló fiatal orosz számítógépes szakemberek a Guardian szerint azokhoz az amerikai fiatalokhoz hasonlóak, akik megalapították az eBayt vagy épp a Google-t. Épp csak ők nem az internet napos, hanem árnyékos oldalán tevékenykednek.