E-wojna już trwa

Nieuchwytna organizacja wspierana przez rząd Rosji, która może w ciągu jednego dnia doprowadzić do zniknięcia całego państwa. Scenariusz filmu klasy B? Nie, to najprawdziwsza prawda. Taka organizacja istnieje i działa w najlepsze, choć jej działalność ogranicza się do Internetu. Chociaż w zasadzie trudno tu mówić o ograniczaniu – w końcu żadne inne środowisko nie pozwala na tak łatwe przekraczanie granic i tak skuteczne zacieranie za sobą śladów.

Znana jest nazwa tej grupy. Brzmi całkiem niegroźnie: Russian Business Network (RBN), choć słowo „Russian” bardzo wiele tu wyjaśnia.

Armia zombi

Kiedy Gruzja wyskoczyła z pomysłem ataku na Osetię, Rosja rozdeptała ją nie tylko militarnie, ale też informacyjnie. W dwa dni po rozpoczęciu wojny wiele stron z domeny ge – serwisy parlamentu, prezydenta czy ministerstwa spraw zagranicznych Gruzji – przestały odpowiadać. Zmiótł je atak typu DDos, czyli distributed denial of service. Polega on na ciągłym wysyłaniu do danego serwera milionów próśb o dane. Atakowany komputer musi każdemu takiemu żądaniu przydzielić nieco pa-mięci, czasu procesora i pasma łącza sieciowego. Tymczasem wysyłające zamówienia komputery napastnicy wcale nie czekają na odpowiedź, tylko stale się dobijają, co szybko wyczerpuje zasoby i czyni serwer niedostępnym.

Do przeprowadzenia takiego zmasowanego najazdu używa się tysięcy, czasami milionów komputerów jednocześnie molestujących ten sam cel. Jest to znacznie skuteczniejsze niż atakowanie z jednej maszyny, której łatwo odciąć dostęp do serwera. By ochronić się przed atakiem DDos, trzeba by odłączyć dostęp do większości Internetu, a przecież o to właśnie napastnikom chodzi.

Oczywiście dobry DDos, taki jak ten skierowany przeciw Gruzji, nie jest realizowany przez tysiące crackerów* mozolnie stukających w tysiące komputerów w tysiącach miejsc na świecie. Atak może przeprowadzić jeden człowiek siedzący gdzieś w parku z laptopem na kolanach. Wystarczy, że roześle sygnał to całej sieci botów – komputerów zombi rozproszonych po świecie i czekających na polecenia.

Tak się składa, że Russian Business Network prawdopodobnie zarządza bodaj największą tego typu siecią na świecie – botnetem Storm. Prawdopodobnie, bo Storm jest doskonale zorganizowany i chroniony, a jego administratorzy pozostają nieuchwytni.

Sama nazwa Storm, czyli „burza”, jest ściśle związana z zasadą, na jakiej opiera się tworzenie takich systemów. Poszczególne składniki botnetu to zwykłe komputery użytkowników stojące w prywatnych domach, biurach i na uczelniach. Czy kiedykolwiek dostałeś e-mail o sensacyjnym tytule, który zachęcał do obejrzenia wstrząsającego materiału wideo znajdującego się w załączniku? Jeśli uruchomiłeś taki załącznik, pewnie nic się nie wydarzyło, a ty zirytowany skasowałeś e-mail i o wszystkim zapomniałeś. Jeżeli coś takiego miało miejsce, to są wielkie szanse, że to właśnie twój komputer był jednym z tych, które rozłożyły na łopatki gruzińskie serwery. Ów obiecany film był w rzeczywistości trojanem, małym programem, którego jedynym celem było zainstalowanie w systemie Windows kilku plików. Być może gdzieś tam dobrze ukryte w rozległych katalogach systemowych siedzą sobie pliki o nazwach game1.exe czy game5-.exe. To właśnie części składowe botnetu, małe programy, które de facto stały się władcami twojego komputera.
Pracują gdzieś w tle, nasłuchując na łączach i czekając na sygnał do rozpoczęcia ataku. * Angela kopnięta*

No a skąd ten „storm”? Otóż jeden z pierwszych e-maili inicjujących powstanie tego botnetu rozsyłany na początku 2007 roku nosił tytuł „230 dead as storm batters Europe-”, czyli „230 osób zginęło podczas burzy w Europie”. Tak sensacyjną wiadomość chciało poznać tysiące osób i tysiące osób otwierało skażony załącznik. Kolejne e-maile- wyglądały równie ciekawie: „Amerykański samolot zestrzelony przez chiński pocisk”, „Saddam Husajn żyje!” czy „Condoleezza Rice kopnęła Angelę Merkel”, a ostatnio „Prezydent Gruzji jest gejem”. Każdy otwierały tysiące ludzi, a ich komputery niepostrzeżenie dostawały się pod kontrolę RBN. Ci ostrożniejsi mogli we wrześniu 2007 roku zarazić trojanem swoje maszyny, odwiedzając stronę amerykańskiej Partii Republikańskiej – ktoś włamał się do serwera i dorzucił niebezpieczny kod, który atakował komputer nawet bez udziału użytkownika.

Twórcy tego botnetu robią wiele, by pozostać niewykrywalnymi- – zarządzają nim przez sieć peer-to-peer, z której korzystają setki- tysięcy normalnych użytkowników, stosują systemy stale zmieniające adresy sieciowe kluczowych serwerów czy szyfrują rozsyłane e-mailem załączniki, utrudniając ich wykrycie przez program antywirusowy. Mimo to analiza kodu trojana i sposób działania sieci wskazuje właśnie na RBN. Nie wiadomo, ile komputerów zombi ma do swojej dyspozycji ta organizacja, ale ich liczbę szacuje się na 1 do nawet 50 milionów maszyn.

Mając taką armię, można zrobić bardzo dużo. Russian Business Network wynajmuje części Storma wszystkim chętnym, którzy dowiodą, że nie są związani z organami ścigania. Koszt miesięcznego dostępu do części botnetu to zaledwie kilkaset dolarów, ale zyski mogą być ogromne. Szacuje się, że blisko 20 procent całego światowego spamu wysyłane jest właśnie przez komputery kontrolowane przez RBN.

Gdy w 2006 roku firma Blue Frog opracowała niezwykle skuteczny system walki ze spamem, jej serwery błyskawicznie zostały zmiecione ogromnym DDos, w którym dopatrzono się udziału Rosjan.

Drugim potężnym źródłem zarobku jest pakiet programów MPack. To prawdziwy ewenement – za cenę 500–1000 dolarów można kupić narzędzia służące do przygotowywania ataków na banki, wykradania haseł i wyszukiwania dziur w systemach użytkowników. Jego twórcy zapewniają normalne wsparcie techniczne i za dodatkowe 50–150 dolarów sprzedają moduły rozszerzające funkcjonalność MPacka, a dodatkowo liczą sobie za konstruowanie programów tak, by były niewykrywalne dla antywirusów.

Wszystko, co złe

Początki Russian Business Network sięgają jednak dawniejszych czasów. Prawdopodobnie organizacja powstała około 2004 roku w Sankt Petersburgu i początkowo działała jako zupełnie legalna firma zajmująca się udostępnianiem miejsca na serwerach na strony WWW. Dość szybko jednak ktoś doszedł do wniosku, że to samo, choć bardziej opłacalnie, można robić, jeśli zaoferuje się usługi szczególnej grupie klientów. RBN zaczęło zapewniać miejsce serwisom sprzedającym dziecięcą pornografię i rozpowszechniającym niebezpieczne oprogramowanie. Jeżeli na przykład napisałeś program kradnący z komputerów użytkowników hasła i potrzebowałeś bezpiecznego adresu internetowego, na który twój soft mógł wysyać zdobyte dane, RBN jest tym, czego potrzebujesz. Za kwotę 10-krotnie wyższą niż cena normalnej usługi dostajesz swoje miejsce w sieci wraz z gwarancją, że nikt się nie dowie, kim jesteś, i nie będzie się interesował legalnością twoich działań.

Rosyjski aparat sprawiedliwości nie kwapi się do ścigania na swoim terytorium osób zajmujących się czymś tak błahym jak przestępstwa sieciowe dokonywane gdzieś daleko poza granicami kraju. Wiele wskazuje też na to, że RBN ma ścisłe powiązania z władzą. Początkowo sądzono, że opierają się one na przekupywaniu urzędników niższego szczebla, lecz wydarzenia ostatnich dwóch lat pokazały, że układ może być znacznie bardziej złożony. Analiza przeprowadzona przez Jarta Armina (prowadzi blog śledzący działania RBN – rbnexploit.blogspot.com) pokazuje, że ataki na gruzińskie strony przechodziły przez dwa serwery rosyjskie i jeden turecki, wielokrotnie już wiązane z akcjami RBN. Wiadomo, że atak nie był jednorazowy. Gdy niemieccy informatycy ustanowili połączenie z Gruzją omijające kontrolowane przez crackerów maszyny, po kilku godzinach ruch danych znowu został przechwycony i skierowany przez serwery znajdujące się w Moskwie.

Podobne działania miały miejsce w kwietniu 2007 roku, kiedy w Estonii trwała awantura o usunięcie z Tallina pomnika Armii Czerwonej. Nastąpił wtedy słynny, trwający kilka tygodni atak na estońskie strony rządowe, banki i serwisy mediów. Doprowadził on praktycznie do zniknięcia z „powierzchni Internetu” ogromnej połaci najbardziej „usieciowionego” kraju Europy. Choć oficjalnie winę zrzucono na mieszkającego w Estonii separatystę rosyjskiego, oczywiste jest, że jeden człowiek nie byłby w stanie zorganizować takiej akcji. Mimo że brakuje niezbitych dowodów, ślady znowu prowadzą w stronę Russian Business Network.

Wygląda więc na to, że RBN mogło stać się czymś w rodzaju zbrojnego internetowego ramienia rosyjskich władz. To bardzo wygodny układ – nie trzeba tych ludzi utrzymywać i pilnować, by na siebie zarabiali, wystarczy przymykać oko na ich działalność i nie spieszyć się do współpracy z zagranicznymi organami ścigania. Z drugiej strony w razie potrzeby ma się na usługi potężną, doskonale działającą organizację cyberterroryzmu, która z chęcią pomoże ojczyźnie. Nieliczni członkowie RBN zidentyfikowani z imienia i nazwiska są znani ze swoich nacjonalistycznych poglądów i wcześniejszych związków z cyberprzestępczością.

Wydaje się, że przed RBN po prostu nie ma ucieczki. Można mieć jedynie nadzieję, że Polska jeszcze długo nie znajdzie się w kręgu jego zainteresowań.

Piotr Stanisławski