Законодатели и государственные служащие используют термин
"государственно-частное партнерство" для борьбы с виртуальными угрозами
настолько часто, что он приобрел смысл "ничего неделание". Но недавняя операция
Ghost Click показывает,
что подобная коллективная работа необходима для борьбы с киберпреступниками и
продвинутыми вирусами.
В среду ФБР объявило о глобальном расследовании, проводимом международными
правоохранительными органами, частными предприятиями и неправительственными
организациями, которое привело к разоблачению семерых эстонцев и гражданина
России в организации аферы, в результате которой было заражено больше четырех
миллионов компьютеров и украдено более 14 миллионов долларов.
Группировка, функционировавшая под различными именами, включая Rove Digital,
якобы заразила компьютеры вирусом DNSChanger – он мог изменять адреса доменных
серверов, перенаправляя пользователей на запрашиваемые веб-сайты через сервера,
управляемые преступниками. На протяжение четырех лет данная группировка, как
предполагается, использовала вирус и серверы для создания ложных рекламных
кликов на платные сайты. Эстонская полиция арестовала шестерых своих граждан во
вторник, в то время как один подозреваемый, гражданин России, находится на
свободе.
"ФБР со своими партнерами по мановению ока разоблачили преступную
группировку", - написал в своем сообщении Дженис К. Федарсик, сотрудница ФБР.
"Благодаря сотрудничеству США и Эстонии арестованы шесть руководителей
криминальной организации, а неподдающееся подсчету количество серверов,
управляемых преступниками, деактивированы".
Такая схема требует обширного сотрудничества в расследовании и обнаружении
людей, совершивших аферу. ФБР работало вместе с Эстонской полицией и Пограничной
службой, Национальной полицией Голландии, а также с NASA. Что касается частного
сектора, правоохранительные органы полагались на ресурсы Технологического
Университета Джорджии, Internet Systems Consortium, компании по безопасности
Mandiant, антивирусной группировки Spamhaus, фирмы по безопасности Team Cymru,
антивирусной компании Trend Micro, Университета Алабамы в Бирмингеме и членов
DNS Changer Working Group.
ФБР даже смогло найти партнера для проведения восстановительных работ.
Простое закрытие контрольных DNS-серверов привело бы к отключению от интернета
всех зараженных компьютеров, если конечно, их пользователи не обновили бы список
DNS-хостов. В этом случае DNS-сервера были бы заменены на легитимные, которыми
управляет Internet Systems Consortium, некоммерческая компания, разрабатывающая
программное обеспечение BIND.
Без подобного сотрудничества расследования подобных дел не могло
осуществиться, сказал Филлс Шнек, главный технический директор в McAfee.
"Вот, что случается, когда хорошие ребята берутся за работу", - сказал Шнек.
"Вот, что случается, когда несколько компаний объединяют свои усилия для того,
чтобы помочь правоохранительным органам в преодолении корпоративных и
международных границ. Операция была хорошо организована".
Так, не имея правовых и национальных ограничений (в отношении передачи
информации) виртуальные преступники, как правило, более мобильны, чем те, кто
работают над безопасностью, и это ключевой момент подобных кампаний, на который
нужно обратить внимание, сказал Шнек.
Если мы не установим лучшую кооперацию и процесс обмена информацией,
киберпреступники и шпионы продолжат выходить сухими из воды, отметил Стив
Санторелли, директор Team Cymru и бывший детектив Скотланд-Ярда. Сотрудничество
ФБР с другими организациями – отличный пример эффективности такого подхода,
сказал он.
"Это модель на будущее", - прокомментировал Санторелли. "Правоохранительные
органы осознали, что они не могут полагаться лишь на свои силы. А индустрия
поняла, что своими ресурсами в данных вопросах тоже не обойтись".
