Spis RBN (Russian Business Network): Príbeh nepriestrelného hostingu a prvých kyber-mafiánov

V histórii Dark Webu a kyberzločinu sa pozornosť často sústredí na slávne trhoviská alebo na anonymné siete, ktoré ich umožnili ich vznik. Málokedy sa však hovorí o tom najzákladnejšom, špinavom a absolútne nevyhnutnom pilieri, bez ktorého by žiadna z týchto operácií nemohla existovať: o hostingu. Kto poskytuje serverový priestor pre najhorší obsah na internete? Kto aktívne ignoruje zúfalé žiadosti od FBI, Interpolu a bezpečnostných firiem z celého sveta a vedome chráni najväčších kyberzločincov? Dnes otvoríme zaprášený spis z rokov 2006 - 2007 a pozrieme sa na legendu menom Russian Business Network (RBN). Toto nebola len ďalšia pochybná hostingová spoločnosť. Bol to prvý moderný digitálny "štát v štáte", nepriestrelná pevnosť a de facto poskytovateľ internetových služieb (ISP) pre celý globálny kyberzločinecký svet, s priamymi a dokázateľnými prepojeniami na ruskú mafiu a možno aj na štátne zložky.

RBN sa na scéne objavila okolo roku 2006 a hoci jej stopy viedli do Petrohradu, jej fungovanie bolo od začiatku zámerne chaotické a ťažko vystopovateľné. Jej obchodný model bol jednoduchý, no brutálne efektívny: ponúkala "bulletproof hosting" (nepriestrelný hosting). Tento termín znamená, že hostingový poskytovateľ aktívne ignoruje a odmieta akékoľvek žiadosti o zrušenie stránok alebo o spoluprácu s orgánmi činnými v trestnom konaní. Zatiaľ čo iné pochybné hostingy mohli reagovať aspoň na opakované sťažnosti, RBN bola iná. Nielenže ignorovali sťažnosti, ale aktívne a agresívne bránili svojich klientov. Používali sofistikované technické triky, ako napríklad fast-flux DNS, techniku, pri ktorej sa IP adresa a DNS záznamy servera menili v extrémne rýchlych intervaloch (niekedy aj každých pár minút). Tým sa stalo vypnutie ich serverov na úrovni siete takmer nemožným, pretože kým sa informácia o blokovaní jednej IP adresy rozšírila po internete, server už dávno bežal na desiatkach iných.

V krátkom čase sa RBN stala epicentrom globálneho kyberzločinu, akýmsi digitálnym prístavom Tortuga pre novodobých pirátov. Na ich serveroch bežala infraštruktúra pre takmer každý typ nelegálnej online aktivity tej doby:

• Phishingové a podvodné stránky: Falošné webové stránky bánk, PayPal a eBay, ktoré kradli prihlasovacie údaje a čísla kreditných kariet od miliónov obetí.
• Riadiace servery pre botnety: Boli domovom pre C&C (Command and Control) servery najväčších botnetov, ako bol napríklad notoricky známy Mpack alebo StormWorm, ktoré zotročili milióny počítačov po celom svete a používali ich na rozosielanie spamu a DDoS útoky.
• Šírenie malvéru: Slúžili ako hlavný distribučný bod pre trójske kone, spyware a keyloggery, ktoré infikovali počítače obetí a kradli osobné a finančné informácie.
• Detská pornografia: Poskytovali anonymné a bezpečné útočisko pre niektoré z najhorších stránok s týmto obsahom, ktoré boli z iných častí internetu okamžite odstránené.
• Spamové operácie: Z ich sietí sa denne odosielali doslova miliardy spamových e-mailov, od reklám na falošné lieky až po sofistikované podvody.

Podľa expertov zo spoločnosti VeriSign bola RBN v dobe svojho najväčšieho rozmachu zodpovedná za viac ako 50 %, a niektoré odhady hovoria až o 75 %, všetkej kybernetickej trestnej činnosti na svete. Neboli to len pasívni prenajímatelia serverov. Predpokladá sa, že mnohí z ich klientov boli priamo napojení na zakladateľov, a že RBN si brala podiel zo ziskov z týchto nelegálnych aktivít. Boli aktívnymi partnermi v zločine.

Kto stál za touto operáciou, ktorá bola taká arogantná a otvorená vo svojom pohŕdaní zákonom? Hoci identity neboli nikdy 100% potvrdené, vyšetrovania a novinárske pátrania ukázali na muža známeho pod prezývkou "Flyman", ktorého reálne meno je údajne Pavel Vrublevský, neskôr známy aj ako zakladateľ platobného systému ChronoPay. Špekulovalo sa o jeho prepojeniach na mocné postavy v Petrohrade. Práve tieto kontakty a všadeprítomná korupcia im poskytovali takmer dokonalé krytie a ochranu pred ruskými úradmi, ktoré na žiadosti zo zahraničia dlho a systematicky nereagovali. RBN tak fungovala ako digitálna verzia mafiánskeho územia, kde bežné zákony neplatili a kde si kyberzločinci z celého sveta mohli za poplatok kúpiť absolútnu beztrestnosť a technickú ochranu.

Pád RBN nebol výsledkom jedného dramatického zásahu, ale pomalým a postupným procesom "udusenia" zo strany globálnej internetovej komunity. V roku 2007, po masívnom diplomatickom a mediálnom tlaku, ktorý vyvrcholil sériou investigatívnych článkov vo Wall Street Journal, začala byť pozornosť upriamená na RBN príliš veľká na to, aby ju mohli ignorovať aj ruské úrady. Poskytovatelia internetového pripojenia, ktorí dodávali RBN konektivitu k chrbticovej sieti internetu, začali pod tlakom odstrihávať ich linky. RBN sa niekoľkokrát pokúsila presunúť svoje operácie a "premenovať sa", využívajúc siete v Číne, Turecku alebo na Taiwane, no všade narazili na rýchly a koordinovaný odpor bezpečnostných firiem a ISP. Nakoniec, koncom roka 2007 a začiatkom 2008, organizácia potichu "zavrela obchod" a jej hlavné aktivity zmizli, hoci jej operátori pravdepodobne len prešli na decentralizovanejšie a menej viditeľné metódy.

Spis RBN je však kľúčovou a formatívnou kapitolou v histórii internetu. Brutálne ukázal, aké nebezpečné je, keď sa organizovaný zločin spojí s kritickou internetovou infraštruktúrou. Prípad RBN viedol k masívnym zmenám v medzinárodnej spolupráci – donútil poskytovateľov internetu a vlády po celom svete, aby začali brať hrozbu "bulletproof hostingu" vážne a aby vytvorili rýchlejšie a efektívnejšie mechanizmy na blokovanie a vypínanie takýchto sietí. Hoci RBN ako značka zanikla, jej duch a obchodný model žijú ďalej. Dnes existuje mnoho menších, agilnejších a geograficky rozptýlenejších "nepriestrelných" hostingov, často ukrytých v jurisdikciách, kde je právo nevymáhateľné. Príbeh Russian Business Network je tak mrazivou pripomienkou, že pod povrchom bežného internetu existujú temné prístavy, ktoré poskytujú útočisko a infraštruktúru pre tých najhorších aktérov digitálneho sveta.