'Publiciteit beste wapen tegen criminele hubs'
Gepubliceerd: Maandag 14 januari 2008
Auteur: Michiel van Blommestein
Hosts van malware-netwerken zijn het beste te bestrijden met publiciteit. Dat concluderen onderzoekers van The Shadowserver Foundation in een whitepaper over de malware-activiteiten van het beruchte Russian Business Network.
Het netwerk van RBN is sinds begin november uit de lucht en de onderzoekers betwijfelen of de hoster van crimeware ooit weer actief gaat worden. "Het is niet de eerste keer dat RBN op zwart gaat," staat in de whitepaper, genaamd [url="http://www.shadowserver.org/wiki/uploads/Information/RBN-AS40989.pdf"]AS40989 RBN As RBusiness Network: Clarifying the "Gueswork" of Criminal activity[/url]. Daarbij heeft de aandacht voor de organisatie van onder andere The Washington Post en Wired een cruciale rol gespeeld, zo melden de onderzoekers. Blogger Brian Krebs van de Post vermoedde indertijd hetzelfde. Na de publicaties besloot de Britse vestiging van Tiscali de upstream-verbinding met RBN te verbreken. Overigens werd indertijd door Spamhouse nog gewaarschuwd dat RBN wel eens naar China zou kunnen uitwijken.
RBN was een webhoster uit St. Petersburg waar criminelen terecht konden voor onder andere phishing, malware, virussen en kinderporno. Het netwerk heeft altijd ontkend illegaal bezig te zijn, maar kreeg door alle ophef de wind van voren. Wie gebruik wilde maken van de diensten van RBN moest dat doen via obscure fora of een instant message, en moest vervolgens aan kunnen tonen geen misdaadbestrijder te zijn.
"Het is verontrustend dat aandacht van publicaties als The Washington Post en Wired nodig lijkt om voldoende druk op het netwerk te bouwen om diens verdwijnen in gang te zetten," schrijft Shadowserver. Daarvoor bleek actie van kleine organisaties (waaronder Shadowserver zelf) niet voldoende om het criminele netwerk te stuiten. "Hoewel er binnen Shadowserver serieus werd nagedacht over het naar buiten brengen van de activiteiten van RBN, werd ons dat door andere onderzoekers afgeraden waardoor we geen commentaar in het openbaar op het netwerk gaven." Die houding sloeg volgens de schrijvers eind augustus om, en enkele maanden later was RBN niet meer. "Die strategie lijkt, vanaf een afstandje, over het algemeen erg effectief."
De paper van Shadowserver gaat verder vooral in op de rol van de centrale hub van RBN, AS40989. Zo zou Tibs, volgens de onderzoekers een voorloper van Storm Worm, voor een groot deel verspreid zijn door de centrale hub van RBN. De hoster was verder de thuisbasis van verschillende downloaders en keyloggers.
Bron: Techworld
