Artikel top billede

DK-CERT: Rusland strammer grebet om it-kriminelle

Anholdelser og stramninger tyder på en ny kurs over for it-kriminelle i Rusland, skriver Shehzad Ahmad fra DK-CERT i denne klumme.

Meget internetkriminalitet stammer fra Rusland. Derfor bliver man ekstra glad, når der er godt nyt fra netop den front.

Det var der i den forløbne måned.

Dels blev nogle formodede bagmænd i en stor hackersag anholdt, dels strammer myndighederne op på procedurerne for domæneregistrering.

De internationale nyhedsmedier har lidt modstridende beretninger om anholdelserne. De er enige om, at en formodet bagmand blev anholdt i Sankt Petersborg.

Men ifølge The Register er to af hans kumpaner også anholdt.

Under alle omstændigheder handler det om folk, der mistænkes for at stå bag en af de helt store hackersager.

Forhøjede hævegrænsen

I 2008 hackede gerningsmændene sig ind på it-systemer hos betalingsformidleren RBS Worldpay.

Her fik de adgang til data om betalingskort, som blev brugt til lønudbetalinger.

De hævede maksimumgrænsen for, hvor meget man måtte hæve på hvert enkelt kort.

Den 8. november 2008 gik de i aktion.

130 medsammensvorne gik på samme tid i gang med at hæve kontanter i pengeautomater i 49 byer fordelt på flere lande.

I løbet af en halv times tid havde de hævet over ni millioner dollars. Det har FBI tidligere oplyst.

Et år senere blev tre navngivne og en unavngiven person anklaget for forbrydelsen i USA. Mindst en af de tre er nu i politiets varetægt.

Det gode ved nyheden er, at den tyder på, at Rusland ikke længere stiltiende vil acceptere it-kriminalitet.

Det er der også andet, der tyder på.

Vis pas ved domæneregistrering

I efteråret indførte det såkaldte Coordination Center, der står for registrering af domæner under landedomænet .ru, skrappere regler.

Nu skal virksomheder kunne dokumentere, at de er registreret som virksomhed, før de kan oprette et domæne.

Og privatpersoner skal identificere sig med pas, før de får lov.

Det er et lille skridt på vejen til bedre muligheder for at retsforfølge forbryderne.

Pas på udbyderne

I dag er Whois-oplysningerne om russiske domæner som regel værdiløse, fordi de oplyser navne på stråmænd eller fiktive personer som dem, der er ansvarlige for et givet domæne.

De nye regler træder i kraft 1. april.

Netværk af lyssky udbydere

At der er brug for en indsats i Rusland fremgår af en analyse, som sikkerhedsfirmaet RSA har foretaget.

Firmaet har kigget på udbyderen Troyak, der var offline i flere dage i løbet af marts måned.

Flere botnet baseret på Zeus-programmet (Zbot) kørte på IP-adresser under Troyak.

Derfor kunne det se ud til, at lukningen af Troyaks internetforbindelse var resultatet af forsøg på at lamme nogle botnet.

RSA FraudAction Research Lab har opdaget, at Troyak kun er en lille brik i et større puslespil.

Ifølge forskerne er der udbydere i tre lag.

Nederste lag er det såkaldte bulletproof network. Det rummer servere, som indeholder en mængde skadelige programmer, primært trojanske heste der inficerer offeret med Zeus.

Disse udbydere er der otte af.

Bulletproof networks kommunikerer med fem såkaldte upstream providers.

De har ikke direkte skadelige programmer på deres servere. Deres formål er at maskere tilknytningen til de otte udbydere i kernen.

De fem upstram providers kommunikerer med ni helt legitime internetudbydere, som giver dem adgang til det øvrige internet.

Der er forbindelser på kryds og tværs mellem udbyderne i de tre lag.

Det medfører, at en udbyder forholdsvis let kan finde en ny rute til internettet, når en anden bliver lukket ned.

Fire af fem er ude

Det så vi med Troyak, der røg af nettet den 9. marts. Den fandt hurtigt en ny udbyder, men blev smidt ud igen. Den 12. var den igen online, men lige nu ser den ud til at være væk.

I det hele taget er kun en enkelt af de upstream providers, som RSA-undersøgelsen fandt frem til, tilgængelig for øjeblikket.

Det viser, at opmærksomhed udefra kan påvirke, hvilke udbydere der får lov til at fortsætte med deres lyssky forehavender.

Det bliver spændende at se, om udviklingen vil gøre det vanskeligere for it-kriminelle i Østeuropa at slippe af sted med deres forbrydelser.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team.

I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet. DK-CERT er en tjeneste fra UNI-C, en styrelse under Undervisningsministeriet.

Shehzad Ahmad opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Advania Danmark A/S
Hardware, licenser, konsulentydelser

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere