FBI và SOCA bày mưu hạ tội phạm không gian mạng

FBIand SOCA plot cybercrime smackdown

White hats get proactiveon e-crime

By John Leyden • Getmore f-rom this author

Posted in Crime, 22ndOctober 2009 13:24 GMT

Theo:http://www.theregister.co.uk/2009/10/22/soca_fbi_cybercrime_strategy/

Bài được đưa lênInternet ngày: 22/10/2009

RSA Europe 2009: FBI vàCơ quan về Tội phạm Có tổ chức và Nghiêm trọng củaAnh (SOCA) đã lên kế hoạch cho một chương trình đểtriệt phá và đập tan các hoạt động tội phạm khônggian mạng. Nỗ lực này dựa vào một sự hiểu biết tốthơn về các mô hình kinh doanh của các tác giả của phầnmềm độc hại và các nhóm tin tặc mà chúng ngày mộtgia tăng giống như các công ty hợp pháp.

Chiến lược ba nhánhnày hướng vào những kẻ tạo ra botnet và các phần mềmđộc hại, được gọi là các nhà cung cấp hosting mà họđưa ra các dịch vụ hosting cho những bọn móc vào khônggian mạng, và trao đổi tiền số. Việc trao đổi tiềnsố như là WebMoney và Liberty Reserve là trung tâm đối vớihoạt động của nền kinh tế đen, theo Andy Auld, ngườiđứng đầu về tình báo tại phòng tội phạm điện tửcủa SOCA.

Trong một trình bàychính tại Hội nghị RSA châu Âu, Auld và nhân viên đặcbiệt Keith Mularski của FBI đã sử dụng mạng tội phạmkhông gian mạng Mạng Kinh doanh Nga (RBN) như một ví dụcủa dạng doanh nghiệp tội phạm mà họ đã hướng tới.Bây giờ nhóm bị giải tán này đã sử dụng một mạngIP được cấp phát bởi RIPE, một tổ chức của châu Âumà nó cấp phát các tài nguyên IP, để quản lý các sitebất lương, các phần mềm độc hại và khiêu dâm trẻem.

Các hành động củaRIPE có thể tự chúng cho mượn cho việc làm sáng tỏ,được xem xét theo các điều khoản khắt khe, đặc biệtvới các tội phạm không gian mạng và “có liên quan tớicác tội rửa tiền”.

“Chúng tôi khônghiểu nó theo cách đó. Thay vào đó chúng tôi làm việctrong mối quan hệ đối tác để làm cho sự cai trị củaInternet trở thành một môi trường cho phép ít hơn”,Auld nói.

RBN - được mô tảnhư một ISP tội phạm được xây dựng có mục đích -được cho là đã thanh toán cho cảnh sát địa phương,các quan chức chính phủ và quan tòa tại St Petersburg.

RSAEurope 2009 The FBI and the UK’s Serious and Organised Crime Agencyhave drawn up a program for dismantling and disrupting cybercrimeoperations. The effort relies on a better understanding of thebusiness models of carders, malware authors and hacker groups whichhave increasingly come to resemble those of legitimate businesses.

Thethree prong strategy aims to target botnet and malware creators,so-called bullet-proof hosting providers that offer hosting servicesto cybercrooks, and digital currency exchanges. Digital currencyexchanges such as WebMoney and Liberty Reserve are central to theoperation of the black economy, according to Andy Auld, head ofintelligence at SOCA’s e-crime department.

Duringa keynote presentation at the RSA Europe Conference, Auld and FBIspecial agent Keith Mularski used the Russian Business Network (RBN)cybercrime network as an example of the type of criminal enterprisethey were targeting. The now disbanded group used an IP networkallocated by RIPE, a European body that allocates IP resources, tohost scam sites, malware and child porn.

RIPEactions might lend themselves to interpretation, viewed in theharshest terms, as being complicit with cybercriminals and "involvedin money laundering offences".

"Weare not interpreting it that way. Instead we are working inpartnership to make internet governance a less permissiveenvironment," Auld said.

TheRBN – described as a purpose-built criminal ISP – allegedly paidoff local police, judges and government officials in St Petersburg.

“Đây là một tổchức được tổ chức tốt không là một nền công nghiệpthôn dã”. Auld giải thích. “RBN là một thành phần tộiphạm điện tử trong một hồ sơ tội phạm rộng lớnhơn”.

“Đã có những chỉđịnh mạnh mẽ mà RBN đã có cảnh sát địa phương, tòaán địa phương và chính phủ địa phương tại StPetersburg trong túi của nó. Điều tra của chúng tôi đánhvào những chướng ngại đáng kể này”.

Auld nói rằng mặc dùnhững nỗ lực tăng cường về luật pháp phương tây lànản lòng, thì nhóm này được đặt trong sự giám sátmột thời gian ngắn, trong khoảng thời gian đó nhóm nàyđã du ngoạn quanh thành phố của Nga này trong một chiếcxe Audi A8 bọc sắt mà nó luôn được hộ tống bởi mộtxe Range Rover.

Khi sức nóng đã lậtqua RBN, nhóm này đã áp dụng một kế hoạch phục hồithảm họa, được kích hoạt vào tháng 11/2008. Tuy nhiên,sự biết trước đã cho phép FBI và SOCA dập tắt các hệthống mới trước khi RBN có khả năng hoàn tất việcchuyển đổi của nó.

“Tất cả những thứchúng tôi đã đạt được là sự phá hủy, chứ khôngphải một sự truy tố”, Auld giải thích. “Chúng tôitin tưởng là RBN đã quay lại kinh doanh, theo đuổi mộtmô hình kinh doanh hơi khác”.

Nguyêntắc phân loại botnet của các máy nửa sống nửa chết

Trình diễn có quảnlý tốt cũng được đưa vào một nguyên tắc phân loạitổng thể các dạng botnet. Mạng của các máy tính cánhân bị tổn thương có thể được sử dụng cho nhiềumục đích bao gồm các ủy quyền mà chúng cung cấp sựnặc danh (dựa trên các máy tính bị lây nhiễm bởi cácphần mềm độc hại như là Xsos), việc ăn cắp ủy quyền(Trojan ngân hàng mà ai cũng biết Zeus và Torpig đang làmcái trong chủng loại này), web hosting (ASProx), phát tánspam (Srizbi, sâu Storm) và các botnet của các phần mềm độchại.

"Thiswas a well organized organization not a cottage industry,” Auldexplained. “RBN was the e-crime component in a wider criminalportfolio.

“Therewere strong indications RBN had the local police, local judiciary andlocal government in St Petersburg in its pocket. Our investigationhit significant hurdles.”

Auldsaid that although western law enforcement efforts were frustrated,the group was put under surveillance for a short time, during whichthe group travelled around the Russian city in an Armoured Audi A8that was always escorted by a Range Rover.

Asthe heat was turned up on RBN, the group applied a disaster recoveryplan, activated in November 2008. However, foreknowledge allowed theFBI and SOCA to shut down new systems before RBN was able to completeits migration.

“Allwe achieved was disruption, not a prosecution,” Auld explained. “Webelieve RBN is back in business, pursuing a slightly differentbusiness model.”

Zombiebotnet taxonomy

Thewell attended presentation also included a comprehensive taxonomy ofbotnet types. Network of compromised PCs can be used for multiplepurposes include proxies that supply anonymity (based on machinesinfected by malware strains such as Xsox), credential stealing (thenotorious banking Trojan ZeuS and Torpig being the chief irritants inthis category), web hosting (ASProx), spam distribution (Srizbi,Storm worm) and malware d-ropping botnets.

Thành phần sống cònkhác của nền kinh tế tội phạm không gian mạng là cácnhóm thảo luận của bọn tội phạm, được mô tả bởiMularski như “các siêu thị” tội phạm điện tử đểkhai thác, các công cụ và các dữ liệu ăn cắp mà chúngđã áp dụng một cơ cấu tổ chức dạng của mafia. Nhữngnhóm thảo luận này đã vỡ vụn sau những nỗ lực tăngcường luật pháp mà chúng đã dẫn tới sự suy sụp cácdiễn đàn như là Shadowcrew và Carderplanet trong năm 2004.

Các diễn đàn thếhệ mới sẽ được chia giữa các site tiếng Nga và tiếngAnh. Mỗi loại có cấu trúc tầng với những quản trịviên mà lấy % cho việc quản lý các dịch vụ liên quantới bên thứ 3 và kiểm soát cơ chế thành viên ở trênđỉnh. Bên dưới những ông chủ này là những ngườikiểm duyệt lại mà họ điều hành sự quản lý site(capos).

Các tin tặc và bọntrộm dữ liệu chiếm thang bên dưới với các thành viêndòng chính thống (có liên quan) bên dưới chúng. Chấtlượng các dữ liệu thẻ tín dụng bị ăn cắp, ví dụ,được xem xét lại trước khi một nhà cung cấp đượccho phép để bán thông qua các nhóm thảo luận này.

Phảncông

SOCA và FBi dự kiếnsẽ thâm nhập vào các nhóm hoặc cấy vào bên trong cácnguồn. Các cơ quan tăng cường pháp luật cũng sẽ đi saukhi tiền của việc trao đổi điện tử mà sẽ được sửdụng để chuyển quỹ giữa các bọn tội phạm. Làm việcvới các tổ chức cai trị Internet, như các nhóm mà phânphối các địa chỉ IP cho các móc nối mà không nhậnthức được rằng không gian địa chỉ sẽ bị sử dụngcho tội phạm không gian mạng, cũng tạo nên một phầncủa sự kiểm soát.

Hai cơ quan tăng cườngpháp luật này cũng muốn khuyến khích các đích của tộiphạm không gian mạng để cải thiện an ninh của chúngkhi đi sau những vị trí nơi mà bọn tội phạm tải lênvà lưu trữ các dữ liệu.

“Việc ra chính sáchtheo truyền thống là có tác dụng trở lại”, Auld giảithích. “Sự tăng cường của tội phạm không gian mạng,đối nghịch lại, phải là tiên phong thực hiện”.

Anothervital component of the cybercrime economy is carder forums, describedby Mularski as e-crime “supermarkets” for exploits, tools andstolen data that have adopted a mafia-style organisational structure.These forums have splintered after law enforcement efforts that ledto the demise of forums such as Shadowcrew and Carderplanet in 2004.

Newgeneration forums are split between Russian and English languagesites. Each have hierarchical structures with administrators who takea percentage for running escrow services and control membership atthe top. Below these bosses are reviewers who handle site management(capos).

Hackers,carders and data thieves occupy the rung below with mainstreammembers (associates) below them. The quality of stolen credit carddata, for example, is reviewed before a vendor is allowed to sellthrough these forums.

Counteroffensive

SOCAand the FBI intend to infiltrate groups or cultivate inside sources.The law enforcement agencies will also go after the money bytargeting electronic exchanges that are used to transfer fundsbetween criminals. Working with internet governance organisations,such as groups that allocate IP addresses to crooks without realisingthat the address space will be used for cybercrime, also form part ofthe clampdown.

Thetwo law enforcement agencies also want to encourage the targets ofcybercrime to improve their security while going after locationswhe-re crackers upload and store stolen data.

“Traditionalpolicing is reactive,” Auld explained. “Cybercrime enforcement,by contrast, has to be pro-active.” ®

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com