Исчезновение группы Russian Business Network (RBN) оставило исследователей в недоумении. "Куда они делись - вот в чём вопрос, - заявил пожелавший остаться неизвестным из опасения мести со стороны преступников аналитик из подразделения iDefense Labs компании VeriSign. - Самое интересное - это как они сумели так быстро всё закрыть".
Как спрятать сеть
В начале недели iDefense отслеживала перемещение деятельности RBN с серверов, находящихся в России, на китайские серверы. 6 ноября российские серверы RBN отключились, поскольку группа лишилась контроля над выделенным ей пространством IP-адресов, что фактически отрезало её от Internet. Однако уже 7 ноября RBN переместилась в Китай и на Тайвань, получив по меньшей мере семь блоков китайских IP-адресов, как заявляет iDefense. Как утверждает эта расположенная в Стерлинге (штат Вайоминг) компания, RBN контролирует 5120 IP-адресов, выделенных китайским провайдерам. Использование некоторыми клиентами RBN этих адресов было зарегистрировано в тот же день.
Но маневр с перемещением в Китай привлек внимание СМИ и сообщества специалистов по безопасности, и в четверг сеть RBN внезапно прекратила работу, как сообщил аналитик. Он заявил, что 8 ноября они отрезали от связи шесть из семи блоков адресов.
Хотя руководители RBN называют нелестные истории о них «нападками, предназначенными для дискредитации России и её Президента Владимира Путина», им определённо невыгодно привлечённое внимание. "Если клиенты будут бояться пользоваться их услугами, - полагает аналитик, - у RBN будут серьёзные финансовые проблемы".
Аналитики разводят руками
Специалисты по компьютерной безопасности давно заявляли, что среди клиентов RBN абсолютное большинство составляют спамеры, хакеры, похитители личных данных, «отмыватели» денег, распространители детской порнографии и другие преступники. Все они используют эту сеть для хостинга Web-сайтов с вредоносными программами или в качестве стартовой площадки для распространения спама и атак с отказом в обслуживании. "Эти люди стараются не вызывать к себе интерес", - полагает аналитик.
В RBN уже пытались отвести от себя внимание. В середине октября представители группы впервые пошли на контакт с западными средствами массовой информации, заявив Wired, что они ведут законный бизнес и предполагают подать иск против известной антиспамовой организации The Spamhaus Project за внесение их IP-адресов в чёрный список. Через два дня CNews Russia поместило статью, в которой утверждалось, что обвинения в адрес RBN - это фальшивки, предназначенные для дискредитации Путина.
Куда исчезла RBN и появится ли она снова, пока остаётся загадкой. "Куда они пойдут теперь, если предположить, что они хотят воссоздать ту же модель работы в другом месте? Я не знаю", - заявил аналитик из iDefense.
Возродиться, разделившись
Как считают в iDefense, RBN в качестве единой организации больше не существует. Модель, использовавшаяся ею в России и краткое время в Китае, - это иерархическая, контролируемая из единого центра сеть, в которой один-два провайдера Internet подключают к Web несколько полулегальных компаний. Эти компании, в свою очередь, сдают преступникам так называемые "пуленепробиваемые" серверы, то есть такие, которые не будут отключать в случае жалоб от специалистов по безопасности.
"В плане контроля и финансов такая схема превосходна", - считает аналитик из iDefense, подчёркивая, что вертикальная интеграция увеличивает прибыли организации.
Но вместо того, чтобы вернуться к работе по той же схеме, RBN сейчас, возможно, разделится на небольшие компании, организующиеся в рамках Internet-инфраструктуры разных стран мира. "Такая схема поможет им скрыться от обнаружения, но она дороже и более рискованна, поскольку чем с большим количеством провайдеров Internet ей приходится иметь дело, тем выше вероятность того, что один из них откажется от хостинга сайтов RBN и закроет их", - полагает аналитик.
Плюс для ее клиентов в том, что, разделившись, RBN сможет дольше скрываться от обнаружения, и преследование её окажется затруднительным. "Блюстителям закона гораздо труднее работать, когда в деле замешано шесть-семь стран, - полагает аналитик из iDefense. - Но, думаю, мы сможем их выследить. Мы делали такое раньше, когда имели дело с группами, распределёнными по нескольким провайдерам".
Но в качестве монолитной, централизованной организации - по иронии судьбы, именно по такому принципу был построен ныне несуществующий Советский Союз - сеть RBN, по всей видимости, мертва. "Я думаю, в том виде, в каком мы её знали, RBN больше нет", - заявил аналитик.