Безопасность → Кто стоит за крупнейшим в мире спамовым ботнетом?

11.02 [16:46]

В результате «войны разоблачений» в стиле Wikileaks между двумя конкурирующими программами по нелегальной продаже лекарств были раскрыты подробности о крупнейших спамерах планеты. Кто последний в списке «потерь» в этой войне? Это несколько человек, ответственных за создание ботнета Grum, на сегодняшний день - самого активного в мире спамового ботнета.

Летом 2010 года, в результате хакерского взлома, произошла утечка базы данных «партнерских» программ SpamIt и GlavMed, которые платили спамерам за продвижение нелегальных онлайновых аптек. Из попавших в утечку данных видно, что вторым из лучших партнеров программы был спамер с ником GeRa. В течение 3-летнего периода рекламные рассылки GeRa и его рефералов привели к 80 000 продаж контрафактных медикаментов, что принесло SpamIt доход в размере более чем 6 миллионов долларов, а лично для него и его рефералов это дало 2,7 миллиона долларов.

Множество данных указывает на то, что GeRa является ведущим хакером группы, стоящей за Grum, - спамовым ботнетом, рассылающим более 18 миллиардов спамовых писем в день, и являющимся основным средством доставки для трети всего мирового объема «мусорной» почты.

Хакеров разоблачили тысячи чатов, входящие в утечку данных из SpamIt, которые относились к диалогам между участниками программы SpamIt, и Дмитрием Ступиным (Dmitry Stupin), со-администратором этой программы. Эти диалоги однозначно раскрывают содержание ежедневных коммуникаций между GeRa и Ступиным; обычно такие разговоры касались создания новых спамовых рассылок или устранения проблем в существующей инфраструктуре. Однажды Ступин заметил, что GeRa - самый хлопотный из всех главных спамовых ботнетов, участвующих в программе, написав своему коллеге - администратору SpamIt, что «ни Docent [ботмастер Mega-D], ни Cosma [ботмастер Rustock], не могут сравниться с ним с точки зрения проблем с провайдерами».

В некоторых из тех чатов GeRa указывает на конкретные Internet-адреса, которые позднее будут распознаны, как командные серверы ботнета Grum. Например, в чате со Ступиным 1 июня 2008 года, GeRa передает ссылку на адрес 206.51.234.136. Затем, проверив статистику на сервере, он пишет Ступину, сколько инфицированных ПК «отзвонились» на этот адрес. Именно этот сервер был идентифицирован, как командный сервер Grum.

К тому времени Grum вырос до таких размеров, что был упомянут в документе Крупнейшие обнаруженные спамовые ботнеты, выпущенном Джо Стюартом (Joe Stewart), исследователем из Dell SecureWorks. 13 апреля 2008 года - лишь через пять дней после выпуска документа Стюарта, - GeRa переслал ссылку на него Ступину, добавив: «Ха-ха! Я тоже в этом списке!».

Примерно в то же время, когда база данных SpamIt попала в утечку, хакеры взломали сеть ChronoPay, одного из крупнейших в России обработчика онлайновых платежей. Руководителя этой компании, Павла Врублевского (Pavel Vrubelvsky), считали соучредителем главного конкурента SpamIt - «партнерской» программы по распространению контрафактных медикаментов под названием Rx-Promotion. Среди данных, попавших в утечку из ChronoPay, оказались сообщения по e-mail, из которых видно, что сотрудники ChronoPay обмениваются паролями к базе данных Rx-Promotion.

Сайт KrebsOnSecurity получил в свое распоряжение исчерпывающие массивы данных, из которых видно, какие сайты рекламировали «партнеры» Rx-Promotion в 2010 году, и сколько на этом заработал каждый из них. Эта информация была передана нескольким исследователям из Калифорнийского университета в Сан-Диего (University of California, San Diego), которые использовали их в своей работе Исследование траекторий переходов по щелчкам (Click Trajectories study) (файл PDF), посвященной экономике спамовой отрасли. Эти исследователи потратили в 2010 году четыре месяца на то, чтобы наблюдать за крупнейшими спамовыми ботнетами, и отслеживать, какие фармацевтические «партнерки» поддерживаются различными ботнетами.

Фрагмент статистики продаж GeRa по сайтам программы Rx-Promotion, где в исходном коде сайтов фигурирует его ID, равный 1811.

Из разговоров между GeRa и Ступиным видно, что к тому времени, когда исследователи начали свои наблюдения, GeRa уже переметнулся от SpamIt к Rx-Promotion. Действительно, исследователи из Калифорнийского университета обнаружили, что GeRa и Grum являются, практически, синонимами. В HTML-коде каждой онлайновой аптеки RX-Promotion имеется идентификатор сайта, «site_id», который используется для расчетов по комиссиям за спамовую рекламу. Как обнаружили исследователи, всякий раз, когда ботнет Grum рекламировал сайты Rx-Promotion, его идентификатор был всегда равен 1811. А из данных утечки Rx-Promotion видно, что этот идентификатор принадлежит пользователю с ником «gera».

«Это не доказывает, что GeRa является владельцем Grum», сказал Стефан Сэвидж (Stefan Savage), профессор Калифорнийского университета и соавтор упомянутого выше исследования. «Но это показывает, что когда ботнет Grum рекламировал сайты Rx-Promotion, комиссии по этим сайтам выплачивались кому-то, чей ник был ‘GeRa’».

КТО ТАКОЙ GERA?

На форумах GeRa использовал другой вариант своего ника - «Ger@» - в том числе на ныне не функционирующем форуме Spamdot.biz, где собирались крупнейшие спамеры из SpamIt и конкурирующих программ. Поисковая система Google игнорирует символ «@», что затрудняет поиск по этому нику. Но достаточно проникнуть в закрытые сообщества киберпреступников, и непременно встретишь объявления о покупке трафика, подписанные «Ger@».

Ger@ пишет: «Продолжаем выкупать весь ваш трафик, трафф идет на сплоит Элеонора [пакет эксплойтов Eleonor] грузится спм бот 1.exe…»

Обычно GeRa покупает трафик у других ботмастеров и создателей вредоносного ПО, которые контролируют большие массивы взломанных ПК. Как он объясняет в следующем объявлении на закрытом форуме, переданный ему трафик с браузеров жертв направляется на сайты с пакетами эксплойтов, предназначенными для установки его спамового бота (см. ниже).

GeRaне откликнулся на многочисленные попытки связаться с ним через e-mail и ICQ. По всей видимости, он ведет себя значительно осторожней, чем другие крупные ботмастеры из SpamIt, но несколько следов он все же оставил. GeRa использовал на SpamIt несколько раздельных учетных записей (возможно для того, чтобы размеры его заработков не так бросались в глаза, - он фигурировал там под никами «GeRa», «Kostog», «Scorrp», «Scorrp2», «Scorrp3», «UUU», и «DDD»).

По всем этим учетным записям GeRa получал платежи на один кошелек WebMoney с идентификатором 112024718270. По сведениям из источника, у которого есть возможность просматривать идентификационную информацию, связанную со счетами WebMoney, данный кошелек был создан в 2006 году человеком, который пришел в офис WebMoney в Москве и предъявил российский паспорт с номером 4505016266. Паспорт принадлежал 26-летнему мужчине с именем Николай Алексеевич Костогрыз (Nikolai Alekseevich Kostogryz).

Схема, сводящая воедино данные о GeRa и его партнерах.

Одним из самых успешных рефералов GeRa был «партнер» SpamIt, который использовал ник «Anton» и чей ID в системе WebMoney был 186103845227. Российский паспорт, использованный для открытия счета, принадлежал Василию Ивановичу Петрову (Vasily Ivanovich Petrov). Согласно записей из базы данных SpamIt, «Anton» был 18-м из самых ценных партнеров, он сгенерировал продаж на почти 1 миллион долларов и заработал на комиссиях свыше 422 000 долларов.

Доходы SpamIt и GlavMed на протяжении всей истории этих программ.

Изучая статистику заработков спамеров, как в SpamIt, так и в Rx-Promotion, трудно не обратить внимание на асимметрию между размерами доходов спамеров, и общими потерями, которые несут с собой спамовые рассылки. В одних только Соединенных Штатах потери экономики от спама оцениваются в 40 миллиардов долларов в год - сюда входят, как производительные потери, так и антиспамовые капитальные затраты и связанные с ними дополнительные расходы. Для сравнения - вся «партнерская» программа SpamIt за четыре года сгенерировала доходов на 150 миллионов долларов, а программа Rx-Promotion - и того меньше.

Автор: