О проблемах борцов со спамом
В США вышла книга журналиста Брайана Кребса (Brain Krebs) “Spam Nation”, посвященная российским спамерам и киберпреступности. В числе прочего в книге рассказывается о том, как спамеры атаковали организации, пытавшиеся противостоять распространению спама.
Одной из неудачных попыток противостоять распространению является компания Blue Security, созданная израильскими эмигрантами из СССР и имевшая офис в США. Компания предложила инновационную технологию борьбы со спамом и привлекла $4 млн венчурного финансирования. По состоянию на 2006 г. у компании было более 500 тыс. платных пользователей, установивших разработанное компанией приложение Blue Frog.
Идея Blue Security состояла в том, чтобы атаковать спамеров до тех пор, пока они не исключат клиентов компании из их адресных баз. Такая тактика приносила плоды, но раздражала самих спамеров. В те годы основным источником спама были партнерские программы по нелегальной продаже фармацевтических препаратов в интернете.
Как были связаны спам и фармацевтика
Через такого рода партнерские программы пользователям из США и Европы предлагалось приобретать так называемые «дженерики»: произведенные в странах Азии поддельные препараты, схожие по свойствам с известными лекарствами. «Дженерики» стоят значительно дешевле оригинальных препаратов, а для их приобретения не требуется рецептов. Любой желающий веб-мастер мог вступить в партнерские программы и, сделав свою витрину, получать проценты с продаж. Главным источником «маркетинга» в таких программах был спам.
Основным источником спама в прошлом были интернет-торговцы нелегальными фармацевтическими препаратамиВ создании партнерских программ преуспели, в первую очередь, российские хакеры. Основной партнерской программой по распространению фармацевтических препаратов в интернете до 2010 г были Glavmed и Spamit, созданные россиянином Игорем Гусевым. Для рассылки спама, как правило, используются ботнеты: сети из большого числа зараженных компьютеров, владельцы которых не знают об их участии в рассылке спама.
Как российские спамеры уничтожили бизнес Blue Security
Главной площадкой для «тусовки» российских спамеров был форум Spamdot.biz. Журналы оставленных на этом форуме сообщений имеются в распоряжении Брайана Кребса. Именно на Spamdot.biz спамеры стали обсуждать меры по борьбе с Blue Security. Спамеры осознали, что предложенная компанией идея содержит серьезную уязвимость. Спамерам, согласившимся сотрудничать с компанией, предлагалось установить специальное ПО, блокирующее отправку спама на адреса клиентов Blue Security. Сама адресная книга в данном ПО была зашифрована.
Но спамеры догадались, что если сравнить их базы рассылки с перечнем пропущенных Blue Security сообщений, то можно будет вычислить адреса клиентов Blue Security. Далее на их адреса были отправлены сообщения с угрозами. В них утверждалось, что деятельность Blue Security незаконна, что жертвами компании становятся, в том числе, ресурсы, не связанные со спамом, а за самой компанией стоят бывшие спамеры.
Авторы послания предупреждали клиентов Blue Security, что устанавливаемое ими ПО Blue Frog создает на их компьютерах backdoor («черный вход» для управления компьютером злоумышленниками), с помощью которого можно устраивать DDoS-атаки и производить рассылки спама, в том числе содержащего порнографию и предложения по продаже фармацевтических препаратов.
Соответственно, клиенты Blue Security будут обвинены в участии в атаках и рассылки спама, предупреждали авторы письма. А сам список адресов клиентов компании будет опубликован и станет доступен для спамеров, после чего поток рассылаемого на эти адреса спама вырастит в десятки раз, предупреждалось в письмах. Также злоумышленники написали сотрудникам Blue Security письма о том, что они обладают базой адресов 70% клиентов компании, и за оставшиеся 30% они готовы заплатить $50 тыс.
Затем участник форума Spamdot.biz под ником BoT придумал способ атаковать саму компанию. Спамеры зарегистрировал ряд доменов, с которых стояла переадресация на подконтрольный злоумышленникам ресурс. Пользователей Blue Security стали забрасывать большим потоком спама с возможностью «отписаться». Когда пользователи нажимали эту кнопку, они через подставные домены попадали на упомянутый сайт.
С началом массовой рассылки спамеры поставили переадресацию с подконтрольного им ресурса на сайт Blue Security. После чего сайт компании стал недоступен. Гендиректор канадского хостинг-провайдера Tucows Эллиот Носс (Elliot Noss), обслуживавшего сайт Blue Security, сообщил, что лишь несколько интернет-компаний в мире смогли бы справиться с такой атакой.
Атака продолжалась две недели. Blue Security распространил сообщение об этом в своем блоге на платформе Blogs.com, обслуживаемой компанией Six Apart (владела в те годы сервисом Livejournal), и поставил переадресацию со своего сайта на эту страницу. После этого под атакой оказались сервера Six Apart, из-за чего начались проблемы с доступом ко многим обслуживаемым данной компанией блогам.
BoT высказывал также предложение поставить переадресацию с ресурса, куда попадают пользователи Blue Security, на сайты крупных СМИ наподобие BBC, Reuters и CNN. Те бы стали писать о том, что функционирование мирового интернета находится под угрозой из-за деятельности Blue Security. По подсчетам Кребса, атака обошлась ее устроителям в $15 тыс.
Спамеры перешли к прямым угрозам и гендиректору Blue Security Эрену Решефу (Eren Reshef) и его семье. Так, ему прислали фотографии его детей, которые он сам до этого не видел. Компания пыталась обращаться за защитой в ФБР, но дальше формальной защиты дело не сдвинулось.
В результате создатели Blue Security вывесили «белый флаг» и согласились не переговоры. С этой целью злоумышленники прислали Решефу ссылку на один из сайтов с продажей фармацевтических препаратов, в HTML-коде которого содержалось написанное на транслите сообщение: «preved, stuchis v asku» (далее был указан номер мессенджера ICQ, которым пользовались злоумышленники). В разговоре по ICQ человеком с ником Pharmaster предупредил гендиректора Blue Security, что ему предстоит понять, с кем они связался, и что системы компании будут выведены из строя на несколько месяцев.
Тодд Андервуд (Todd Underwood), гендиректор занимающейся интернет-безопасностью компании Renesys, говорит, что когда только Blue Security представила свою бизнес-модель, эксперты сразу назвали ее «ужасной» и предупредили о побочных последствиях. «Однако история компании печальна, так как она закончилась победой спамеров», - заключает Андервуд. Кребс отмечают, что индустрия спама приносила ее создателям миллионы долларов в месяц, а компания Blue Security, став угрозой для их бизнеса, за это поплатилась.
Кто заказал уничтожение Blue Security
Кребс пишет, что за организации атак против Blue Security стояли пользователи форума Spamdot.biz под никами Mr. Green и Zliden. Согласно данным организации Spamhaus, занимающейся борьбой со спамом, за этими никами скрывались Влад Хохольков и Лео Куваев соответственно. Они оба известны как организаторы партнерских программ по распространению фармацевтических препаратов в интернете, включая Mailien и Rx-Partners.
Куваев жил в США и был обвинен в организации DDoS-атак, распространении пиратского ПО и рассылке спама. Суд обязал Куваева выплатить штраф в размере $37 млн из-за продаж пиратских копий ПО Microsoft. После этого он вернулся в Россию. Здесь его обвинили в педофилии и в 2012 г. осудили на 20 лет (впоследствии срок заключения сократили до 10 лет).
Вскоре после атаки на Blue Security, Mr Green попросил администрацию форума Spamdot.biz удалить его аккаунт и все его сообщения. Однако копии оставленных им сообщений остались в качестве цитат в сообщениях других пользователей форума, из чего Кребс и сделал вывод о том, кто стоял за атакой. Впрочем, сам Хохольков в переписке с Кребсом отверг за свою роль в этой истории.
Как спамеры атаковали Spamhaus
Другой, более распространенный метод борьбы со спамом, состоит в формировании черного списка IP-адресов, с которых распространяется спам. Сюда попадают как адреса хостинг-провайдеров, не препятствующих распространению спама, так и адреса компьютеров зараженных пользователей. Сообщения с данных адресов могут фильтроваться интернет-провайдерами и организациями для сокращения потоков спама. Наиболее известными организациями, составляющими такие списки, являются URIBL, SURBL и упомянутая Spamhaus.
Технологии успешного SOC: детектирование атак и создание правил корреляции БезопасностьОсенью 2008 г. на форуме Spamdot.biz начался сбор средств для организации DDoS-атаки против упомянутых организаций, а также против созданной основателем Spamhaus Стивом Линфордом (Steve Linford) компании uxn.com и ресурса ultradesign.com, хранящего резервные копии базы Spamhaus. Администратор форума под ником Ika сообщил, что для организации атаки собрано $3 тыс, еще $1 тыс была потрачена на покупку ботов по цене $25 за 1 тыс.
В соответствующем обсуждении на Spamdot.biz представитель одной из партнерских программ по распространению фармацевтических препаратов – Afiilate Connection – сообщил, что связанные с ней спамеры готовы предоставить миллионы зараженных ими компьютеров для участия в атаке. Однако, предупреждал представитель Affilate Connection, в ответ борцы со спамом могут внести в «черные списки» все участвующие в атаки компьютеры, что лишит спамеров возможных заработков с их помощью. Кроме того, организации по борьбе со спамом обзавелись инфраструктурой для отражения DDoS-атак.
Спамер с ником Gera, создавший ботнет Grum и участвующий в партнерских программах по распространению фармацевтических препаратов в интернете, призывал других спамеров принять участие в атаке и «помочь индустрии». «Я обращаюсь к крупным спамерам: вы зарабатываете на комиссиях от $50 тыс. до $200 тыс. в месяц, неужели вам сложно выделить $3 тыс. для решения данной проблемы?» - спрашивал Gera. Кребс, изучив использовавшийся Gera электронный кошелек в системе Webmoney, полагает, что этим ником пользовался Николай Косторгыз.
Пользователь с ником Docent, создатель ботнета Mega-D, соглашался принять участие в финансировании будущей атаки. С другой стороны, пользователь с ником Severa, создатель ботнетов Waleac и Storm, неожиданно выступил против атаки. По его мнению, весьма нетипичному для спамеров, жизнь без антиспам-фильтров уже нельзя представить: они ставят барьер от неопытных спамеров.
Чем инвестирование отличается от предпринимательства Бизнес«Представьте, что будет, если все антиспам-фильтры перестанут работать, - предупреждал Severa. – Сможете ли вы тогда заработать деньги? Нет! В этом случае электронная почта просто перестанет существовать как вид коммуникаций. Поэтому, Spamhaus – это не хорошо и не плохо: Spamhaus – это просто Spamhaus». По мнению Spamhaus, за ником Severa стоял хакер Петр Левашов, который в 2017 г. был арестован в Испании и затем экстрадирован в США, где его приговорили к 33 месяцам заключения.
Другой пользователь форума с ником Swank согласился с Severa, но лишь частично. «Действительно, антиспам-фильтры полезны для интернета, так как обе стороны – спамеры и борцы с ними – постоянно совершенствуются в борьбе с другом, - рассуждал Swank - Это позволят технологиям постоянно улучшаться и дает защиту от неопытных спамеров, сохраняя доход для профессионалов. Однако «тупые» организации наподобие Spamhaus ведут себя нечестно по отношении к организаторам легитимных email-рассылок. Spamhaus ненавидит email-маркетинг как таковой, независимо от того, является ли рассылка легитимной или нет. Поэтому этой организации следует дать понять, что она не является неприкасаемой».
В октябре 2008 г. Gera анонсировал атаку против Spamhaus с помощью специально разработанного ПО – Anti-haus v. 1.0, которое должно было распространяться среди владельцев крупнейших ботнетов. Впрочем, в самом Spamhaus Кребсу заявили, что в тот период времени организации не зафиксировала крупных атак против своей инфраструктуры.
Однако крупная атака против Spamhaus все-таки состоялась – в марте 2013 г. Тогда ряд хостинг-провайдеров, размещающих незаконные материалы (bluetproof), объединились в коалицию под названием Stophaus и создали соответствующий онлайн-форум. Атака стала местью Spamhaus за то, что организация внесла в черные списки адреса одного из таких хостинг-провайдеров – голландского CB3ROB (другое название – Cyberbunker).
Атака продолжалась девять дней, ее мощность достигала 300 Гбит/с. Атака была организована с помощью ложных запросов к DNS-серверам, которые в качестве ответов отправляли сообщения атакуемым ресурсам. Атака создала проблемы для миллионов пользователей ресурсов, размещенных на площадках одного из крупнейших в мире хостинг-провайдеров CloudFlare (обслуживает Spamhaus). Атаке также подверглись точки обмена трафиком в Лондоне, Амстердаме, Франкфурте и Гонконге.
Впоследствии по обвинению в организации атаки в Испании был арестован гражданин Нидерландов Свен Олаф Кампфуйс (Sven Olaf Kamphuis), которого затем экстрадировали на родину. Правда, сам обвиняемый отрицал свое участие в атаке, утверждая, что они лишь является пресс-секретарем CB3ROB.
Как мошеннические приемы использовались против спама
Существуют и другие формы борьбы со спам. Одну из идей на этот счет предложил активист Адам Дрейк (Adam Drake), создатель посвященного борьбе со спамом форума Inboxrevenge.com. Идея Дрейка состояла в автоматическом создании большого числа фиктивных телефонных заказов на покупку фармацевтических препаратов через упомянутые партнерские программы, содержащих ложные контактные данные и номера банковских карт. Таким образом, спамеры вынуждены были бы вручную проверять заказы, отправка заказов реальных пользователям замедлилась бы, что в итоге должно было снизить интерес к клиентам к подобного рода схемам.
В районе 2007 г. таким образом спамерам каждый день отправлялось 20-30 тыс. ложных заказов. В ответ спамеры создали системы для борьбы с мошенническими заказами (antifraud), проверяя данные заказов и помечая их как «высокорискованные». Но эта же система стала отбраковывать и легитимные заказы.
Изучение базы клиентов Spamit и Glavmed, имеющихся в распоряжении Брайана Кребса, показало, что в данных партнерских программах как рискованные помечались даже заказы со средней степенью подозрительности. Например, причиной для отклонения заказа могло стать указание телефонного номера, не совпадающего с ZIP-кодом адреса, связанного с банковской картой заказчика. «Наша идея принесла спамерам денежные потери», - радуется Дрейк.
Спамер Игорь Вишневский, один из создателей бот-нета Cutmail, говорит, что созданная спамерами система борьбы с мошенничеством принесла им дополнительную выгоду: они блокировала фальшивые заказы от партнеров, которые генерировали их с помощью украденных данных банковских карт. Такого рода заказы приносили спамерам убытки не только из-за стоимости телефонных звонков, но и привлекали внимание международных платежных систем, борющихся с мошенничеством с помощью банковских карт.
Кроме того, для того, чтобы противодействовать борцам со спамом, спамеры применили новую тактику: они стали создавать большое число сайтов по продаже фармацевтических препаратов, не давая какому-либо сайту возможности долго работать. В результате пользователь, нажав ссылку в спам-сообщении с рекламой фармацевтических препаратов, попадал на иной сайт, недели пользователь, нажавший ссылку в аналогичном сообщении за несколько секунд до того. Также в партнерских программах Spamit и Glavmed создавались «черные списки» адресов сотрудников Mastercard, Visa и фармацевтических компаний, дабы избежать отправки заказов им и не попасть в проводимые ими проверки.
Игорь Королев
Поделиться Подписаться на новости Короткая ссылкаНажимая кнопку «Подписаться», вы даете свое согласие на обработку и хранение персональных данных.