Dieter Kochheim, <strong>Cybercrime</strong> - 88 -In einer ... Grauzone operieren die sogenanntenRogue Provider, die mit „bullet proof hosting“ werben,also im Prinzip versprechen, dass sie Ermittlungenvon Strafverfolgern nicht übermäßig unterstützenund dass sie auf Missbrauch-Beschwerdennicht reagieren. ...Das ... Geschäftsmodell des RNB war simpel unddreist: Je mehr eine Domain in den Fokus der Öffentlichkeitgeriet, je mehr Beschwerden an die E-Mail-Adresse für Missbrauch geschickt wurden,desto mehr Geld verlangten die Russen von ihrenKunden.Bolduan, S. 32der Öffentlichkeit und vor allem vor den Strafverfolgungsbehördenabschotten. Dazu werden Scheinfirmeneingerichtet, die als Inhaber von Domänengeführt werden, oder Fantasie- und Aliasnamenbenutzt. Solche schurkischen Dienste schließen esaus, dass die Betreiber und Hinterleute aus Registernoder anderen öffentlichen Quellen identifiziertwerden können (Bullet Proof Domains 499 ). ZumZweck der Abschottung werden vereinzelt auchtechnische Tricks eingesetzt, die den technischenStandort des Rogue-Servers verschleiern 500 .antispam.de nennt diese Art von Unternehmen beschwerdeignoranteProvider und Hoster 501 und benennteinige von ihnen aus China, Korea, Russlandund den USA. In Bezug auf Russland sinddas informtelecom.ru 502 und das Russian BusinessNetwork 503 . Auch Deutschland ist nicht frei vonzögerlich reagierenden Providern.Das Russian Business Network (RBN) ist ein russischerInternetdienstanbieter mit Sitz in St. Petersburg,Levashovskiy Prospekt 12. Ein großesNetz von Tochterfirmen haben u.a. ihren Sitz aufden Seychellen, in Panama, Türkei, China undGroßbritannien. Als Carrier sind RBN-Rechner teilweisemit denen von Firmen wie AkiMon sowieSBT-Tel vernetzt, deren Uplink Silvernet über Anschlüssean großen Rechnerknoten wie MSK-IXverfügen. Die Zeitschrift c't ordnet den Provider derGruppe der Rogue ISPs zu, die ihre kriminellenKunden vor dem Zugriff von Justizbehörden schützenund welche deren Dienstleistungen auch dannweiter betreiben, wenn sich Beschwerden häufen.Zu den Angeboten von Kunden von RBN gehörenAffiliatensysteme wie iFramecash.net, Rock-Phish-Crew. Zu den Techniken gehören teilweise Innovationenwie Fast Flux-botnet (schneller Wechsel),welche IP-Spuren verwischen sollen. Schadsoftwarewie MPack-Kit, Sturmwurm-Bot, Gozi-Bot,Torpig oder 76Serve, (vermietbare Bot-Armee-Software, die zur Ausspähung von Kreditkartenoder Identitäten dient), wird von RBN gehostet.Wikipedia 504499Jürgen Schmidt, Hydra der Moderne. Die neuenTricks der Spammer und Phisher, c't 18/2007;ders. ebenda: ... Bullet Proof Domains500Russian Business Network bekannt? tecchannel17.10.2007501beschwerdeignorante Provider und Hoster,antispam.de502informtelecom.ru: Dieser russische Webhoster istseit einigen Jahren schon immer wieder durchHosten von Phishing-/Muli-Webseiten, Warez-Piracy-Seiten, Casino-Spam-Seiten, Bride-Scam-Seiten u.a. aufgefallen.503RBN: Man erfreut sich offensichtlich besterBeziehungen zur russischen Regierung, der Betriebgeht seit Jahren unbehelligt in dieser Richtungweiter. Der gesamte IP-Adressbereich diesesrussischen Providers steht auf der Blackliste vonSpamhaus.org.504WP, Russian Business Network - RBN
Dieter Kochheim, <strong>Cybercrime</strong> - 89 -C.1 5. Russian Business Network - RBNHeise nennt die Betreiber des RBN die "Bösestender Bösen im Internet" 505 und meldete im Herbst2007, dass es sich aus dem Internet zurück zöge:Fast alle bekannten Autonomous Systems (AS)des RBN sind seit Kurzem aus den globalen Routing-Tabellenverschwunden: RBN-AS, SBT-AS,MICRONNET-AS, OINVEST-AS, AKIMON-AS,CONNCETCOM-AS und NEVSKCC-AS. EinzigCREDOLINK-ASN ist im Moment noch in den Tabellen,obwohl deren Netze ebenfalls nicht mehrerreichbar sind. 506Dank Bizeuls Untersuchung 507 kam etwas Licht indie Geschäftsaktivitäten des RBN und seiner Leitungspersonen.An der Spitze des RBN steht nachBizeuls Recherchen ... ein Mann mit dem Decknamen"Flyman" 508 . Der Firmensitz des nirgendworegistrierten und seit 2005 tätigen Unternehmensist in St. Petersburg, Levashovskiy Prospekt 12 509 .Von flyman wird behauptet, er sei der Neffe eineshochrangigen Politikers aus Sankt Petersburg. Soließe sich erklären, warum der Bandenkopf offensichtlichunbehelligt seinen Geschäften nachgehenkann 510 . Faber identifiziert einen weiteren Akteur:Ging es um Domains von RBN oder SBT-Tel undAkiMon, fand sich oft der Name Nikolay Ivanov 511 .Faber beschreibt in groben Zügen die Anbindungendes RBN 512 , die Ursprünge seiner kriminellenAktivitäten (das Verbreiten von Kinderpornographie,die Verbreitung von Schadcode und die aktiveBeteiligung am Phishing; Rock-Phish-Crew) bishin zur aktuellen Vermietung von Botnetzen, die fürdas Phishing optimiert sind: Die Monatsmiete proBot konnte je nach dem, wie lange er bereits in-stalliert ist, schon mal 1000 US-Dollar betragen.Je frischer der Bot, desto teurer ist er 513 .Schließlich bringt Faber das RBN mit den Betreiberndes Sturmwurm-Botnetzes 514 in Verbindung,weil die über manipulierte Webseiten verbreiteteMalware (MPack-Kit) bei RBN gehostet war 515 .Faber: Es scheint so, als fungiere das RussianBusiness Network als Katalysator, als jenes fehlendeTeil, das zum Aufbau einer regelrechtenSchattenwirtschaft im IT-Bereich nötig gewesenwar 516 .Das Verschwinden des RBN im November 2007war nur vorübergehend, wie schon Frank Ziemannim Februar 2008 zurückhaltend berichtete:St. Petersburg gilt als Hochburg der organisiertenOnline-Kriminalität. Auch das berüchtigte RussianBusiness Network (RBN), eine Art Internet-Providerfür Online-Kriminelle, war bis vor wenigenMonaten dort angesiedelt, soll mittlerweile jedochumgezogen sein. 517Faber 518 : Nur einen Tag später tauchten die erstenSites wieder auf, gehostet allerdings in Chinaund Hong Kong. ... In der Tat war wenig später zubeobachten, dass das RBN zwar weiterhin inSankt Petersburg residiert, seine Services aberauf verschiedene Länder verteilt. ...RBN habe seine Niederlassungen in Panama undder Türkei ausgebaut.Das RBN ist also Mitte 2008 keineswegs Geschichte,sondern aufgrund der neuen Strategielediglich wesentlich schwerer zu entdecken. 519505Die "Bösesten der Bösen im Internet" isoliert, Heiseonline 07.11.2007506Ebenda507David Bizeul, Russian Business Network study,bizeul.org 19.01.2008;CF, Russian Business Network – RBN, 04.05.2008508Innovation im Untergrund, Heise online 20.03.2008509Frank Faber, Unter Verdacht. Eine russische Bandeprofessionalisiert das <strong>Cybercrime</strong>-Business, c't11/2008510Ebenda, S. 93.511Ebenda.512Kasten auf der Vorseite; ebenda S. 93.513Ebenda, S. 94.514CF, Anatomie des Sturm-Wurms, 06.03.2008515Frank Faber, ebenda, S. 95.516Ebenda; unter Bezugnahme auf Muttik.517Frank Ziemann, Sturm-Wurm-Bande bald hinterGittern? PC-Welt 04.02.2008518Frank Faber, ebenda, S. 96.519Ebenda.
- Seite 2 und 3:
Dieter Kochheim, Cybercrime - 2 -3
- Seite 4 und 5:
Dieter Kochheim, Cybercrime - 4 -57
- Seite 6:
Dieter Kochheim, Cybercrime - 6 -A.
- Seite 9 und 10:
Dieter Kochheim, Cybercrime - 9 -ve
- Seite 11 und 12:
Dieter Kochheim, Cybercrime - 11 -A
- Seite 13 und 14:
Dieter Kochheim, Cybercrime - 13 -A
- Seite 15 und 16:
Dieter Kochheim, Cybercrime - 15 -g
- Seite 17 und 18:
Dieter Kochheim, Cybercrime - 17 -V
- Seite 19 und 20:
Dieter Kochheim, Cybercrime - 19 -v
- Seite 21 und 22:
Dieter Kochheim, Cybercrime - 21 -D
- Seite 23 und 24:
Dieter Kochheim, Cybercrime - 23 -l
- Seite 25 und 26:
Dieter Kochheim, Cybercrime - 25 -f
- Seite 27 und 28:
Dieter Kochheim, Cybercrime - 27 -A
- Seite 29 und 30:
Dieter Kochheim, Cybercrime - 29 -D
- Seite 31 und 32:
Dieter Kochheim, Cybercrime - 31 -1
- Seite 33 und 34:
Dieter Kochheim, Cybercrime - 33 -g
- Seite 35 und 36:
Dieter Kochheim, Cybercrime - 35 -i
- Seite 37 und 38: Dieter Kochheim, Cybercrime - 37 -A
- Seite 39 und 40: Dieter Kochheim, Cybercrime - 39 -h
- Seite 41 und 42: Dieter Kochheim, Cybercrime - 41 -r
- Seite 43 und 44: Dieter Kochheim, Cybercrime - 43 -A
- Seite 45 und 46: Dieter Kochheim, Cybercrime - 45 -A
- Seite 47 und 48: Dieter Kochheim, Cybercrime - 47 -A
- Seite 49 und 50: Dieter Kochheim, Cybercrime - 49 -A
- Seite 51 und 52: Dieter Kochheim, Cybercrime - 51 -r
- Seite 53 und 54: Dieter Kochheim, Cybercrime - 53 -
- Seite 55 und 56: Dieter Kochheim, Cybercrime - 55 -A
- Seite 57 und 58: Dieter Kochheim, Cybercrime - 57 -
- Seite 59 und 60: Dieter Kochheim, Cybercrime - 59 -A
- Seite 61 und 62: Dieter Kochheim, Cybercrime - 61 -B
- Seite 63 und 64: Dieter Kochheim, Cybercrime - 63 -B
- Seite 65 und 66: Dieter Kochheim, Cybercrime - 65 -V
- Seite 67 und 68: Dieter Kochheim, Cybercrime - 67 -D
- Seite 69 und 70: Dieter Kochheim, Cybercrime - 69 -I
- Seite 71 und 72: Dieter Kochheim, Cybercrime - 71 -S
- Seite 73 und 74: Dieter Kochheim, Cybercrime - 73 -B
- Seite 75 und 76: Dieter Kochheim, Cybercrime - 75 -B
- Seite 77 und 78: Dieter Kochheim, Cybercrime - 77 -z
- Seite 79 und 80: Dieter Kochheim, Cybercrime - 79 -B
- Seite 81 und 82: Dieter Kochheim, Cybercrime - 81 -A
- Seite 83 und 84: Dieter Kochheim, Cybercrime - 83 -D
- Seite 85 und 86: Dieter Kochheim, Cybercrime - 85 -a
- Seite 87: Dieter Kochheim, Cybercrime - 87 -r
- Seite 91 und 92: Dieter Kochheim, Cybercrime - 91 -C
- Seite 93 und 94: Dieter Kochheim, Cybercrime - 93 -k
- Seite 95 und 96: Dieter Kochheim, Cybercrime - 95 -a
- Seite 97 und 98: Dieter Kochheim, Cybercrime - 97 -s
- Seite 99 und 100: Dieter Kochheim, Cybercrime - 99 -d
- Seite 101 und 102: Dieter Kochheim, Cybercrime - 101 -
- Seite 103 und 104: Dieter Kochheim, Cybercrime - 103 -
- Seite 105 und 106: Dieter Kochheim, Cybercrime - 105 -
- Seite 107 und 108: Dieter Kochheim, Cybercrime - 107 -
- Seite 109 und 110: Dieter Kochheim, Cybercrime - 109 -
- Seite 111 und 112: Dieter Kochheim, Cybercrime - 111 -
- Seite 113 und 114: Dieter Kochheim, Cybercrime - 113 -
- Seite 115 und 116: Dieter Kochheim, Cybercrime - 115 -
- Seite 117 und 118: Dieter Kochheim, Cybercrime - 117 -
- Seite 119 und 120: Dieter Kochheim, Cybercrime - 119 -
- Seite 121 und 122: Dieter Kochheim, Cybercrime - 121 -
- Seite 123 und 124: Dieter Kochheim, Cybercrime - 123 -
- Seite 125 und 126: Dieter Kochheim, Cybercrime - 125 -