The Russian Business Network (RBN), is perhaps the most speculated, buzzed about, cybercrime enterprise in the World, a poster child for fraudulent activity 'streaming' from 'Mother Russia', in the eyes of respected/novice security/cybercrime researchers across the globe.
However, what a huge percentage of the researchers who're just catching up with its 'fraudulent performance metrics' over the years, don't realize, is how a newly emerged bulletproof hosting provider, managed to end up, as the World's most prolific source of fraudulent/malicious activity.
Hint: Basic business concepts like franchising, signalling the early stages of the modernization/professionalization of cybercrime, where being the benchmark has had a direct inspirational impact in the 'hearts and minds' of current and potential cybercriminals, then and now.
Case in point is Abdallah Internet Hizmetleri also known as AbdAllah (VN), an ex-RBN darling relying on the franchise business concept.
In this post, I'll discuss a sample contract/contractual agreement that every one of its customers had to sign before doing business with them, which in the broader context leads to a situation, where while the franchise is publicly advertising the bulletproof hosting services for trojans, exploits, warez, adult content, drop projects, botnets and spam, it's explicitly forbidding such activities -- with some visible exceptions -- in its contractual agreement.
What does this mean? It means that the Russian Business Network, the benchmark for the majority of ex/currently active bulletproof hosting providers, has been (legally) forwarding the responsibility for the fraudulent activity to its customers, in between reserving the right to act and deactivate their accounts if they ever violate the agreement/contract. The first thing that comes to my mind when it comes to the RBN 'reaction' in a socially oriented manner, are the infamous RBN Fake Account Suspended Notices, and that's just for starters, indicating a deteriorated understanding of malicious/fraudulent activity, with high profit margins in mind.
Let's go through the contract/agreement that every customer used to sign, before doing cybercrime-friendly business with them, both in original Russian, and automatically translated in English.
Sample AbdAllah (VN) Contractual Bulletproof Hosting Agreement/Contract in Russian:
1. ПРЕДМЕТ ДОГОВОРА
1.1. Заказчик поручает, а ИСПОЛНИТЕЛЬ берет на себя обязательства по размещению и/или регистрации виртуального сервера ЗАКАЗЧИКА в сети Интернет.
2. УСЛОВИЯ ВЫПОЛНЕНИЯ ДОГОВОРА
2.1. По заключению настоящего договора ИСПОЛНИТЕЛЬ производит первоначальную установку и настройку виртуального сервера и обеспечивает ЗАКАЗЧИКА необходимой информацией для администрирования виртуального сервера.
2.2. ИСПОЛНИТЕЛЬ обеспечивает доступ в сети Интернет к виртуальному серверу, а так же работоспособность всех доступных сервисов ЗАКАЗЧИКА круглосуточно в течение семи дней в неделю.
3. ЦЕНЫ И ПОРЯДОК ОПЛАТЫ
3.1. Стоимость и порядок оплаты работ по настоящему договору на момент его заключения определяется в соответствии с действующими условиями, распространяемыми сотрудниками по E-Mail и/или ICQ.
3.2. Оплата вносится ЗАКАЗЧИКОМ в счет оплаты услуги поддержки виртуального веб-сервера ИСПОЛНИТЕЛЕМ. ИСПОЛНИТЕЛЬ вправе приостановить предоставление услуг при отрицательном состоянии счета.
3.3. Все выделенные серверы предоставляются в состоянии UNMANAGED, т.е администраторы ИСПОЛНИТЕЛЯ могут, но не ОБЯЗАНЫ настраивать арендуемый сервер. За любую настройку сервера ЗАКАЗЧИКА, либо скриптов на нём - взымается плата в размере 50 USD/за 1 час работы администратора ИСПОЛНИТЕЛЯ по Вашему вопросу, минимум пол часа. Полное администрирование сервера специалистами ИСПОЛНИТЕЛЯ стоит 250 USD в месяц. Бесплатно осуществляется перезагрузка сервер (если нет автоматической формы для этого).
3.4. В случае не оплаты услуг ЗАКАЗЧИКОМ в последний день биллингового периода, данные ЗАКАЗЧИКА удаляются по наступлению новых суток без возвратно. В случае виртуального хостинга удаляется аккаунт и все бэкапы данного аккаунта, в случае аренды сервера (dedicated или vps) сервер снимается с обслуживания, форматируются жесткие диски.
4. ОТВЕТСТВЕННОСТЬ СТОРОН
4.1. ИСПОЛНИТЕЛЬ не несет ответственности перед ЗАКАЗЧИКОМ или третьими сторонами за любые задержки, прерывания, ущерб или потери, происходящие из-за:
(а) дефектов в любом электронном или механическом оборудовании, не принадлежащем ИСПОЛНИТЕЛЮ;
(б) проблем при передаче данных или соединении, произошедших не по вине ИСПОЛНИТЕЛЯ ;
(в) вследствие обстоятельств непреодолимой силы в общепринятом смысле, т.е. чрезвычайными силами и непредотвратимыми обстоятельствами, не подлежащими разумному контролю;
(г) давление властей.
4.2. При расторжении Договора по инициативе ЗАКАЗЧИКА, неиспользованная часть аванса ЗАКАЗЧИКУ не возвращается.
4.3. ИСПОЛНИТЕЛЬ оставляет за собой право приостановить обслуживание ЗАКАЗЧИКА или расторгнуть договор в безусловном порядке без возвращения средств заказчику в следующих случаях:
- размещение детской порнографии и зоофилии в любом виде;
- попытки взлома, несанкционированного проникновения на сервер, в аккаунты других клиентов, попытки порчи оборудования или программного обеспечения;
- попытки взлома правительственных организаций в любом виде;
- попытки спама любого рода с наших серверов виртуального хостинга, кроме как через соксы;
- попытки фишинга банков (кража денег);
- размещение информации по торговле оружием и наркотиками, торговля людьми или органами людей, вызывающие межнациональную и религиозную рознь, призывающую к войне и насилию;
- неоправданная перегрузка вычислительных мощностей сервера виртуального хостинга (допускается использовать не более 5% мощности процессора и не более 128Мб оперативной памяти сервера);
- попытки взлома с серверов (dedicated и виртуальный хостинг) - серверы, которые расположены рядом в стойке, либо клиентов этой же страны, где расположен сервер;
- оскорбление в любой форме сотрудников сервиса.
4.4. ИСПОЛНИТЕЛЬ не отвечает за содержание информации, размещаемой ЗАКАЗЧИКОМ.
4.5. ИСПОЛНИТЕЛЬ не будет нести ответственности за любые затраты или ущерб, прямо или косвенно возникшие в результате использования услуги вэб хостинга.
4.6. MoneyBack за выделенный сервер возможен только в том случае, если недоступность данного сервера происходит по вине ИСПОЛНИТЕЛЯ, ввиду того, что ИСПОЛНИТЕЛЬ оплачиваем полную стоимость сервера в Дата-Центр. Также возможна замена сервера.
4.7. Размещение сайтов ЗАКАЗЧИКА, рекламируемых SPAMом на серверах ИСПОЛНИТЕЛЯ (как виртаульного хостинга, так и dedicated) оплачивается отдельно из расчета объема писем. При объёмах от 5млн до 10млн =1000 USD - 1500 USD в месяц за сервер в Китае или ГонгКонге, либо 150 USD неделя или 500 USD в месяц за виртуальный хостинг, более 10-20 млн. = 200 USD неделя либо 2000$ за выделенный сервер.
4.8. ИСПОЛНИТЕЛЬ обязуется делать ежедневные резервные копии аккаунта ЗАКАЗЧИКА на сторонний сервер (только виртуальный хостинг).
4.9. ИСПОЛНИТЕЛЬ обязуется решать самостоятельно все жалобы (абузы/abuse), не привлекая к этому ЗАКАЗЧИКА и без вмешательства в данные ЗАКАЗЧИКА. ИСПОЛНИТЕЛЬ не решает жалобы (абузы/abuse) от полиции, крупных правительственных организаций и VerSign.
4.10. ИСПОЛНИТЕЛЬ не дает никаких гарантий, что домен ЗАКАЗЧИКА не будет заблокирован по любым причинам, а особенно таким как любой вид SPAMа, fraud, phishing и т.п.
5. КОНФИДЕНЦИАЛЬНАЯ ИНФОРМАЦИЯ
5.1. Стороны обязуются без обоюдного согласия не передавать третьим лицам либо использовать иным способом, не предусмотренным условиями Договора, организационно-технологическую, коммерческую, финансовую и иную информацию, составляющую секрет для любой из сторон (далее - "конфиденциальная информация") при условии, что:
- такая информация имеет действительную или потенциальную коммерческую ценность в силу ее неизвестности третьим лицам;
- к такой информации нет свободного доступа на законном основании;
- обладатель такой информации принимает надлежащие меры к обеспечению ее конфиденциальности.
5.2. Стороны обязуются, без обоюдного согласия, не передавать третьим лицам сведения о содержании и условиях Договора.
5.3. ИСПОЛНИТЕЛЬ обязуется предотвращать запись логов на серверах виртуального хостинга и маршрутизирующем оборудовании.
5.4. Будьте внимательны, сотрудники ИСПОЛНИТЕЛЯ не запрашивают пароли от аккаунтов виртуального хостинга и выделенных серверов. Исключением является ситуация, когда ЗАКАЗЧИК просить произвести какие-либо работы на его Выделенном Сервере.
Automatically translated Russian Business Network (RBN) Contractual Agreement/Contract:
1. SUBJECT OF CONTRACT
1.1. Customer Requests, but ARTIST is committed to the placement and / or registration CUSTOMER virtual server on the Internet.
2. CONDITIONS OF IMPLEMENTATION OF THE TREATY
2.1. At the conclusion of this treaty ARTIST produces initial setup and configuration of the virtual server and provides the necessary information for CUSTOMER virtual server administration.
2.2. ARTIST provides access to the Internet to the virtual server, as well as efficiency of all available services CUSTOMER day seven days a week.
3. PRICES AND ORDER OF PAYMENT
3.1. Cost and arrangements of works under this contract at the time of its conclusion is determined in accordance with existing conditions, the staff distributed by E-Mail and / or ICQ.
3.2. Payment is made ZAKAZCHIKOM as payment services support virtual web server ISPOLNITELEM. ARTIST right to suspend the provision of services at a negative status of the account.
3.3. All dedicated servers are provided in a position UNMANAGED ie ISPOLNITELYA administrators can, but not OBYAZANY tune rented server. For any server setup CUSTOMER or scripts on it - charge of $ 50 USD / for 1 hour administrator ISPOLNITELYA to your question, at least half an hour. The full server administration specialists ISPOLNITELYA worth USD 250 per month. Free done rebooting the server (if not automatic form for this).
3.4. If no payment ZAKAZCHIKOM bill on the last day of the period, the data are removed CUSTOMER new offensive on days without reciprocating. In the case of virtual hosting account and removed all of your backups, in case the rental server (dedicated or vps) server is removed from service, formatted hard drives.
4. RESPONSIBILITY OF PARTIES
4.1. ARTIST no responsibility to ZAKAZCHIKOM or third parties for any delays, interruptions, damage or losses that occur because of:
(a) defects in any electronic or mechanical equipment, not belonging ISPOLNITELYU;
(b) problems in the transfer of data or connection that occurred through no fault ISPOLNITELYA;
(c) due to force majeure circumstances, in the conventional sense, that is, nepredotvratimymi forces and emergency circumstances, not subject to reasonable control;
(g) pressure from the authorities.
4.2. At the dissolution of the Treaty on the initiative CUSTOMER, ZAKAZCHIKU unused portion of the advance is not refundable.
4.3. ARTIST reserves the right to suspend or terminate CUSTOMER service contract in order without the unconditional return of customer funds in the following cases:
-- Locating and zoofilii child pornography in any form;
-- attempted burglary, unauthorized entry to the server, in the accounts of other customers, trying to damage equipment or software;
-- attempted burglary governmental organizations in any form;
-- spam attempts of any kind from our servers hosting virtual except through SOCKS;
-- phishing attempts banks (stealing money);
-- posting on the arms trade and drug trafficking, or human organs, causing inter-ethnic and religious discord, calling for war and violence;
-- unjustified computing power overload virtual server hosting (which is allowed to use no more than 5% of CPU capacity, and no more than 128 MB of RAM server);
-- attempted burglary of servers (and dedicated virtual hosting) - servers, which are located next to the rack, a customer in the same country where the server;
-- insulting to any form of service personnel.
4.4. ARTIST is not responsible for the content of the information posted ZAKAZCHIKOM.
4.5. ARTIST shall not be liable for any costs or damages arising directly or indirectly from the use of Web hosting services.
4.6. MoneyBack for dedicated server is possible only in case the inaccessibility of the fault occurs on the server ISPOLNITELYA, because ARTIST pay for the full cost of a server in Data Center. Also possible replacement server.
4.7. Placing sites CUSTOMER advertised on servers ISPOLNITELYA SPAM (as virtaulnogo hosting, and dedicated) is charged separately at the rate of the volume of letters. With volume of 5 million to 10 million USD = 1000 - 1500 USD per month for the server in China or Gong Konge or 150 USD week, or 500 USD per month for a virtual hosting, a 10-20 million = 200 USD week, or $ 2000 for a dedicated server.
4.8. ARTIST undertakes to do daily backups CUSTOMER account for the third-party server (only virtual hosting).
4.9. ARTIST undertakes to decide all complaints (abuzy / abuse), are not engaging in the CUSTOMER and without interference in the CUSTOMER data. ARTIST does not solve complaints (abuzy / abuse) from the police, government organizations and major VerSign.
4.10. ARTIST gives no guarantees that the domain CUSTOMER not be blocked for any reason, but especially like any kind of SPAM, fraud, phishing, etc.
5. CONFIDENTIAL INFORMATION
5.1. The Parties undertake without the unanimous consent not to transfer to third parties or used in any other way other than prescribed conditions Treaty, organizational and technological, commercial, financial and other information, which is the secret to any of the parties (hereinafter - "confidential information"), provided that:
-- this information is actual or potential commercial value by virtue of its unknown third parties;
-- to such information no free access to the lawful;
-- holds such information shall take appropriate steps to ensure its confidentiality.
5.2. The Parties undertake, without unanimous consent, not to transfer to third parties about the content and conditions of the Treaty.
5.3. ARTIST undertakes to prevent logging on servers and virtual hosting routing equipment.
5.4. Be careful, do not require employees ISPOLNITELYA passwords from virtual hosting accounts and dedicated servers. The exception is when CUSTOMER request to any work for his Vydelennom Server.
Excluding the direct offering of managed servers for spam sending in the actual agreement/contract, and the fact that their abuse department is virtually non-existent, the contact explicitly prohibits related malicious/fraudulent activity. Naturally, that's not the case when AbdAllah (VN) used to advertise its bulletproof hosting service across cybercrime-friendly communities, "back in the day":
In 2013, despite the overall availability of RBN-like bulletproof hosting providers, cybercriminals continue experimenting with abusing legitimate infrastructure in an attempt to mitigate the risk of having their activities exposed. Various cases throughout the last couple of years include:
- Cybercriminals use Twitter, LinkedIn, Baidu, MSDN as command and control infrastructure
- RSA: Banking trojan uses social network as command and control server
- Trojan.Whitewell: What’s your (bot) Facebook Status Today?
- Twitter-based Botnet Command Channel
- Google Groups Trojan
- Zeus crimeware using Amazon's EC2 as command and control server
This post has been reproduced from Dancho Danchev's blog. Follow him on Twitter.
