Tietoturva nyt!

9.11.2007

RBN-ryhmittymä vaihtamassa verkko-osoitteitaan

Nimet RBN tai Russian Business Network yhdistetään tietoturvapiireissä ryhmittymään, joka on ylläpitänyt huomattavaa joukkoa Internet-verkkoon haitallisesti vaikuttavia palveluita. RBN-organisaatioon liittyvät verkkoavaruudet näyttivät terminoituvan Pietarin alueelle. RBN-verkot on yleisesti tunnettu haittaohjelmien levityspalvelimien, phishing-hyökkäyksissä käytettyjen verkkopalveluiden käyttäjätunnusten keruupalvelimien ja useiden botnet-verkkojen komentopalvelimien alustana. CERT-FI on seurannut RBN-ilmiötä tiiviisti keväästä 2006 alkaen.

Tämän viikon tiistaina 6.11. noin kello 23.06 Suomen aikaa RBN:n käyttämät verkkoavaruudet katosivat verkosta. Verkkoavaruudet katosivat hetkellisesti jo viikkoa aikaisemmin, mutta nyt muutos vaikuttaa pysyvämmältä.

Eilen illalla havaittiin ensimmäiset merkit mahdollisesta uudesta RBN-ryhmittymän verkkosijainnista. Osoiteavaruudet viittavat Aasiaan, mutta WHOIS-tietojen paikkansapitävyydestä tässä yhteydessä ei voi olla mitenkään varma.

Suomessa on organisaatioita, jotka ovat suodattaneet omasta Internet-liittymästään RBN-verkkoavaruuksiin kohdistuvan liikenteen. Suodattimet on nyt syytä päivittää ja seurata tilannetta tiiviisti mahdollisten uusien verkkomuutosten varalta.

Lähtökohtaisesti kyseisiin osoiteavaruuksiin kohdistuvaa liikennettä voidaan pitää haitallisena erittäin suurella todennäköisyydellä.

Lisätietoa

• http://en.wikipedia.org/wiki/Russian_Business_Network
• http://rbnexploit.blogspot.com/
• http://www.spamhaus.org/rokso/evidence.lasso?rokso_id=ROK7829