FBI and SOCA plot cybercrime smackdown
White hats get proactive on e-crime
By John Leyden • Get more from this author
Posted in Crime, 22nd October 2009 13:24 GMT
Theo: http://www.theregister.co.uk/2009/10/22/soca_fbi_cybercrime_strategy/
Bài được đưa lên Internet ngày: 22/10/2009
RSA Europe 2009: FBI và Cơ quan về Tội phạm Có tổ chức và Nghiêm trọng của Anh (SOCA) đã lên kế hoạch cho một chương trình để triệt phá và đập tan các hoạt động tội phạm không gian mạng. Nỗ lực này dựa vào một sự hiểu biết tốt hơn về các mô hình kinh doanh của các tác giả của phần mềm độc hại và các nhóm tin tặc mà chúng ngày một gia tăng giống như các công ty hợp pháp.
Chiến lược ba nhánh này hướng vào những kẻ tạo ra botnet và các phần mềm độc hại, được gọi là các nhà cung cấp hosting mà họ đưa ra các dịch vụ hosting cho những bọn móc vào không gian mạng, và trao đổi tiền số. Việc trao đổi tiền số như là WebMoney và Liberty Reserve là trung tâm đối với hoạt động của nền kinh tế đen, theo Andy Auld, người đứng đầu về tình báo tại phòng tội phạm điện tử của SOCA.
Trong một trình bày chính tại Hội nghị RSA châu Âu, Auld và nhân viên đặc biệt Keith Mularski của FBI đã sử dụng mạng tội phạm không gian mạng Mạng Kinh doanh Nga (RBN) như một ví dụ của dạng doanh nghiệp tội phạm mà họ đã hướng tới. Bây giờ nhóm bị giải tán này đã sử dụng một mạng IP được cấp phát bởi RIPE, một tổ chức của châu Âu mà nó cấp phát các tài nguyên IP, để quản lý các site bất lương, các phần mềm độc hại và khiêu dâm trẻ em.
Các hành động của RIPE có thể tự chúng cho mượn cho việc làm sáng tỏ, được xem xét theo các điều khoản khắt khe, đặc biệt với các tội phạm không gian mạng và “có liên quan tới các tội rửa tiền”.
“Chúng tôi không hiểu nó theo cách đó. Thay vào đó chúng tôi làm việc trong mối quan hệ đối tác để làm cho sự cai trị của Internet trở thành một môi trường cho phép ít hơn”, Auld nói.
RBN - được mô tả như một ISP tội phạm được xây dựng có mục đích - được cho là đã thanh toán cho cảnh sát địa phương, các quan chức chính phủ và quan tòa tại St Petersburg.
RSA Europe 2009 The FBI and the UK’s Serious and Organised Crime Agency have drawn up a program for dismantling and disrupting cybercrime operations. The effort relies on a better understanding of the business models of carders, malware authors and hacker groups which have increasingly come to resemble those of legitimate businesses.
The three prong strategy aims to target botnet and malware creators, so-called bullet-proof hosting providers that offer hosting services to cybercrooks, and digital currency exchanges. Digital currency exchanges such as WebMoney and Liberty Reserve are central to the operation of the black economy, according to Andy Auld, head of intelligence at SOCA’s e-crime department.
During a keynote presentation at the RSA Europe Conference, Auld and FBI special agent Keith Mularski used the Russian Business Network (RBN) cybercrime network as an example of the type of criminal enterprise they were targeting. The now disbanded group used an IP network allocated by RIPE, a European body that allocates IP resources, to host scam sites, malware and child porn.
RIPE actions might lend themselves to interpretation, viewed in the harshest terms, as being complicit with cybercriminals and "involved in money laundering offences".
"We are not interpreting it that way. Instead we are working in partnership to make internet governance a less permissive environment," Auld said.
The RBN – described as a purpose-built criminal ISP – allegedly paid off local police, judges and government officials in St Petersburg.
“Đây là một tổ chức được tổ chức tốt không là một nền công nghiệp thôn dã”. Auld giải thích. “RBN là một thành phần tội phạm điện tử trong một hồ sơ tội phạm rộng lớn hơn”.
“Đã có những chỉ định mạnh mẽ mà RBN đã có cảnh sát địa phương, tòa án địa phương và chính phủ địa phương tại St Petersburg trong túi của nó. Điều tra của chúng tôi đánh vào những chướng ngại đáng kể này”.
Auld nói rằng mặc dù những nỗ lực tăng cường về luật pháp phương tây là nản lòng, thì nhóm này được đặt trong sự giám sát một thời gian ngắn, trong khoảng thời gian đó nhóm này đã du ngoạn quanh thành phố của Nga này trong một chiếc xe Audi A8 bọc sắt mà nó luôn được hộ tống bởi một xe Range Rover.
Khi sức nóng đã lật qua RBN, nhóm này đã áp dụng một kế hoạch phục hồi thảm họa, được kích hoạt vào tháng 11/2008. Tuy nhiên, sự biết trước đã cho phép FBI và SOCA dập tắt các hệ thống mới trước khi RBN có khả năng hoàn tất việc chuyển đổi của nó.
“Tất cả những thứ chúng tôi đã đạt được là sự phá hủy, chứ không phải một sự truy tố”, Auld giải thích. “Chúng tôi tin tưởng là RBN đã quay lại kinh doanh, theo đuổi một mô hình kinh doanh hơi khác”.
Nguyên tắc phân loại botnet của các máy nửa sống nửa chết
Trình diễn có quản lý tốt cũng được đưa vào một nguyên tắc phân loại tổng thể các dạng botnet. Mạng của các máy tính cá nhân bị tổn thương có thể được sử dụng cho nhiều mục đích bao gồm các ủy quyền mà chúng cung cấp sự nặc danh (dựa trên các máy tính bị lây nhiễm bởi các phần mềm độc hại như là Xsos), việc ăn cắp ủy quyền (Trojan ngân hàng mà ai cũng biết Zeus và Torpig đang làm cái trong chủng loại này), web hosting (ASProx), phát tán spam (Srizbi, sâu Storm) và các botnet của các phần mềm độc hại.
"This was a well organized organization not a cottage industry,” Auld explained. “RBN was the e-crime component in a wider criminal portfolio.
“There were strong indications RBN had the local police, local judiciary and local government in St Petersburg in its pocket. Our investigation hit significant hurdles.”
Auld said that although western law enforcement efforts were frustrated, the group was put under surveillance for a short time, during which the group travelled around the Russian city in an Armoured Audi A8 that was always escorted by a Range Rover.
As the heat was turned up on RBN, the group applied a disaster recovery plan, activated in November 2008. However, foreknowledge allowed the FBI and SOCA to shut down new systems before RBN was able to complete its migration.
“All we achieved was disruption, not a prosecution,” Auld explained. “We believe RBN is back in business, pursuing a slightly different business model.”
Zombie botnet taxonomy
The well attended presentation also included a comprehensive taxonomy of botnet types. Network of compromised PCs can be used for multiple purposes include proxies that supply anonymity (based on machines infected by malware strains such as Xsox), credential stealing (the notorious banking Trojan ZeuS and Torpig being the chief irritants in this category), web hosting (ASProx), spam distribution (Srizbi, Storm worm) and malware dropping botnets.
Thành phần sống còn khác của nền kinh tế tội phạm không gian mạng là các nhóm thảo luận của bọn tội phạm, được mô tả bởi Mularski như “các siêu thị” tội phạm điện tử để khai thác, các công cụ và các dữ liệu ăn cắp mà chúng đã áp dụng một cơ cấu tổ chức dạng của mafia. Những nhóm thảo luận này đã vỡ vụn sau những nỗ lực tăng cường luật pháp mà chúng đã dẫn tới sự suy sụp các diễn đàn như là Shadowcrew và Carderplanet trong năm 2004.
Các diễn đàn thế hệ mới sẽ được chia giữa các site tiếng Nga và tiếng Anh. Mỗi loại có cấu trúc tầng với những quản trị viên mà lấy % cho việc quản lý các dịch vụ liên quan tới bên thứ 3 và kiểm soát cơ chế thành viên ở trên đỉnh. Bên dưới những ông chủ này là những người kiểm duyệt lại mà họ điều hành sự quản lý site (capos).
Các tin tặc và bọn trộm dữ liệu chiếm thang bên dưới với các thành viên dòng chính thống (có liên quan) bên dưới chúng. Chất lượng các dữ liệu thẻ tín dụng bị ăn cắp, ví dụ, được xem xét lại trước khi một nhà cung cấp được cho phép để bán thông qua các nhóm thảo luận này.
Phản công
SOCA và FBi dự kiến sẽ thâm nhập vào các nhóm hoặc cấy vào bên trong các nguồn. Các cơ quan tăng cường pháp luật cũng sẽ đi sau khi tiền của việc trao đổi điện tử mà sẽ được sử dụng để chuyển quỹ giữa các bọn tội phạm. Làm việc với các tổ chức cai trị Internet, như các nhóm mà phân phối các địa chỉ IP cho các móc nối mà không nhận thức được rằng không gian địa chỉ sẽ bị sử dụng cho tội phạm không gian mạng, cũng tạo nên một phần của sự kiểm soát.
Hai cơ quan tăng cường pháp luật này cũng muốn khuyến khích các đích của tội phạm không gian mạng để cải thiện an ninh của chúng khi đi sau những vị trí nơi mà bọn tội phạm tải lên và lưu trữ các dữ liệu.
“Việc ra chính sách theo truyền thống là có tác dụng trở lại”, Auld giải thích. “Sự tăng cường của tội phạm không gian mạng, đối nghịch lại, phải là tiên phong thực hiện”.
Another vital component of the cybercrime economy is carder forums, described by Mularski as e-crime “supermarkets” for exploits, tools and stolen data that have adopted a mafia-style organisational structure. These forums have splintered after law enforcement efforts that led to the demise of forums such as Shadowcrew and Carderplanet in 2004.
New generation forums are split between Russian and English language sites. Each have hierarchical structures with administrators who take a percentage for running escrow services and control membership at the top. Below these bosses are reviewers who handle site management (capos).
Hackers, carders and data thieves occupy the rung below with mainstream members (associates) below them. The quality of stolen credit card data, for example, is reviewed before a vendor is allowed to sell through these forums.
Counteroffensive
SOCA and the FBI intend to infiltrate groups or cultivate inside sources. The law enforcement agencies will also go after the money by targeting electronic exchanges that are used to transfer funds between criminals. Working with internet governance organisations, such as groups that allocate IP addresses to crooks without realising that the address space will be used for cybercrime, also form part of the clampdown.
The two law enforcement agencies also want to encourage the targets of cybercrime to improve their security while going after locations where crackers upload and store stolen data.
“Traditional policing is reactive,” Auld explained. “Cybercrime enforcement, by contrast, has to be pro-active.” ®
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.