Slik herjer nettmafiaen

Russian Business Network, som omsetter for en milliard kroner, blir linket til opp mot 60 prosent av all nettbasert kriminalitet i verden.

Publisert

Markedet for nettkriminalitet utgjorde i 2009 omkring 700 milliarder kroner, mer enn den illegale omsetningen av narkotika. Veksten de siste årene har vært kraftigere enn noen annen form av kriminalitet.

Svært mye av kriminaliteten tar i bruk beslektede metoder.

– Det gjør at det er et enormt marked for å produsere, selge og leie ut verktøy som kan brukes til denne typen aktiviteter.

Russian Business Network (RBN) er den definitive lederen på markedet. RBN har i en årrekke produsert og solgt disse produktene, samt skapt plattformer og vært nettleverandør til personer og organisasjoner som ikke ønsker å gå gjennom de ulovlighetene som kan knyttes til RBN er utsendelse av søppelpost, distribuering av barneporno, identitets- og informasjonstyverier, ondsinnet programvare, drop zones hvor stjålet data kan lagres og styring av såkalte botnett.

Botnett vil si nettverk av opp til flere hundre tusen datamaskiner som er blitt infisert av ondsinnet programvare og kapret, og som dermed kan brukes til samkjørte angrep mot ulike mål på Internett. De senere årene har det pågått en intens, men resultatløs jakt på gruppas bakmenn.

Beskyttelse

Ingen kjenner til hvem som leder RBN, eller når nøyaktig de startet opp. Men man antar at gruppen opprinnelig hadde base i St. Petersburg, og at grunnleggeren kaller seg ”flyman”.

Det skal være en kjerne på mellom fem og ti som styrer organisasjonen, alle andre som er involvert er kun folk som setter ting ut i livet, uten å kjenne strukturen og de ansvarlige. Sannsynligvis har RBN dessuten levd godt med beskyttelse fra høyt plasserte tjenestemenn i den politiske ledelsen i Russland. Dette underbygges av at RBN sjelden eller aldri har angrepet mål inne i Russland, og at de har vært aktive de gangene russerne er i konflikt med nabolandene.

– De sitter på kompetanse som kan være nyttig for militære formål. Men dersom det stemmer at Russland samarbeider med en kriminell organisasjon, er det jo en samrøre som er helt uakseptabel. Dersom det militære ønsker kompetanse, må de ha den under egen kontroll og selv stå til ansvar for metodene de bruker, sier Inger Marie, stipendiat ved Instituttet for rettsinformatikk ved Universitetet i Oslo.

Hun har en fortid som førstestatsadvokat og leder av datakriminalitetsenheten hos Økokrim, og skriver en doktorgrad om datakriminalitet. Flere uavhengige rapporter peker på at folkene bak RBN var involvert både da russerne var i konflikt med Estland i 2007 og da russiske tropper marsjerte inn i Georgia i 2008.

Rapporter i kjølvannet av konflikten avslørte at avansert programvarer var tatt i bruk, og at det var sannsynlig at RBN enten hadde leid, solgt eller gitt dette bort til de militære.

Ondsinnet programvare

RBN tilbyr kundene sine såkalt bullettproof web hosting, det vil si at de holder kundenes identitet skjult og nettsidene online, uansett. De ble raskt populære blant klienter med til dels tvilsomme hensikter, alt fra folk som sprer barneporno til cyberterrorister.

Frem til slutten av 2007 opererte RBN relativt fritt i Russland. Da begynte imidlertid amerikanske medier å avdekke gruppens aktiviteter. Oppmerksomheten førte til at myndighetene i landene de opererte i, hovedsakelig USA, Panama og Russland, gikk til aksjon mot gruppen.

I aksjonen ble mange av RBN-tjenester blokkert og servere konfiskert, men bakmennene kom seg unna. Etter det opphørte navnet Russian Business Network offisielt å eksistere. Men lignende tjenester ble tilgjengelige fra Kina og andre asiatiske land, og det er ingen grunn til å tro at organisasjonen har sluttet å eksistere.

Eksperter peker på at RBN kommuniserer med sine kunder gjennom pratekanaler og diskusjonsfora på nettet, og at sannsynligheten er stor for at de har tatt med seg ”porteføljen sin” til Asia.

De har alltid operert under mange forskjellige navn, og man finner stadig nye forbindelser til nettverket. En av RBNs mange styrker er dessuten deres interaksjon til andre cyberkriminelle, det vil si at de operer nærmest som en sponsorpool, der ulike kriminelle kan samarbeide om ny teknologi og nye kundegrupper.

– Et åpent nett og nettnøytralitet har vært hellige kuer for svært mange, og selv om vi ser at vinden er i ferd med å snu, så er dette selve kjernen i problemet. Grupper som RBN kan flytte virksomheten sin til nye servere og nye land og fortsette som før. Men menneskene er ett sted, og de kan tas, forteller Sunde I mellomtiden fortsetter jakten på RBN uten stans, både gjennom Internettleverandører og kontrollorganer for Internett.

På bloggen http://rbnexploit.blogspot.com/ , som forsøker å avsløre RBN, er det imidlertid bare ett innlegg i 2009. Der antydes det at nettleverandøren Real Host i Latvia blir styrt av RBN, med de samme kundene og tilbudene som forgjengeren. Foreløpig er RBN fortsatt et hestehode foran sine forfølgere.

Mulig i Norge

– Det som skjedde i Estland og Georgia kan helt klart skje i Norge. De landene har imidlertid ikke like sterk internettinfrastruktur som vi har i Norge, men hvis en ressurssterk angriper ønsker å ta ut tjenester og nettsteder, vil de trolig lykkes, i hvert fall periodevis. Spørsmålet blir hvor fort systemeierne, forhåpentligvis i samarbeid med oss, klarer å reagere, gjenopprette kritiske tjenester og begrense skadevirkningene, advarer Pål Arne Hoff.

Han forteller at de på Nor- CERT håndterte over 3000 hendelser i Norge bare i fjor.

– Det var alt fra infiserte datamaskiner, både på private hender og hos større firmaer, til spionangrep hvor formålet har vært å stjele informasjon. Hvem som gjør det er jo det store spørsmålet, men det er ikke vårt fokus. Vi ser imidlertid at mange av angrepene skjer via botnett.

Hvem som styrer, ville i tilfelle bli spekulasjoner fra min side, sier han. NSM er forberedt på at også terrorister kan kunne komme til å benytte seg av disse virkemidlene om det skulle komme et anslag mot Norge.

– Det er jo det vi er litt redd for, at noen skulle finne på å gjøre noe slikt i sammenheng med et fysisk anslag. Smeller man av en bombe, og samtidig lammer kommunikasjonsmuligheter, så kan det gjøre ekstra stor skade. Vi har jo fått rapporter om at terroristorganisasjoner bruker Internett til kommunikasjon og informasjon, og kan ikke se bort fra at det kan brukes som angrepsarena etter hvert, sier han.

Moderne krigføring

8. august i fjor krysset russiske styrker grensen til Georgia med fly og tanks for å beskytte den georgiske utbryterregionen Sør- Ossetia.

I virkeligheten startet angrepene flere dager før, på en annen slagmark, nemlig Internett. Nettstedene til president, parlament, regjering og media var under et enormt press, overbelastet eller hacket, og offentlig kommunikasjon ble angrepet.

– Med cyber- eller informasjonskrigføring tenker vi på stater som bruker cyberangrep i sammenheng med konvensjonelle militære aksjoner, og det vi så i angrepet mot Georgia, var nok det første virkelige eksempelet på slik krigføring. Mobilnett og andre tjenester ble rammet, og mye tyder på at det ble gjort i sammenheng med at militæret gikk inn i landet forteller Pål Arne Hoff, seksjonssjef i VDI, varslingssystem for digital infrastruktur, ved NSM, Nasjonal Sikkerhetsmyndighet.

Det er de som har hovedansvaret for forvaltningen av sikkerhetsloven i Norge. Ettersom både krig, spionasje og sabotasje har funnet veien til nettet, har militærmaktene måttet øke beredskapen og ikke minst kunnskapen. Ved militærutdanningen på West Point i USA er informasjonskrigføring blitt et eget fagområde og en del av pensum. Her lærer man å bryte ned, tilintetgjøre og forstyrre fiendens informasjonskanaler, samt å avskjære deres informasjonstilgang. Eller de fire D-ene: Degrade, destroy, disrupt og deny.

– Vi så litt av det i Gazaangrepene også, at i tillegg til de mange ”frivillig aktivistene”.