Компания White Ops, занимающаяся вопросами кибербезопасности, раскрыла механизм, позволяющий «русским хакерам» зарабатывать до $5 млн в день с 250 тысяч фальшивых сайтов. На соответствующий доклад обратило внимание издание Mashable.
Схема, придуманная хакерами, получила название Methbot. В ее основе – 1,5 млрд «роботов», каждый из которых обладает американским IP-адресом. Боты просматривают 300 млн рекламных роликов в день, при этом умеют вести себя как реальные пользователи: перемещать курсор, хранить историю посещения веб-страниц, некоторые из них также имеют аккаунты в социальных сетях.
При этом хакеры создали в том числе и копии шести тысяч самых популярных среди рекламодателей сайтов. Речь идет, например, о сайтах CNN, The New York Times, BuzzFeed, Mashable, Facebook, Yahoo, Air France и других.
Издание пояснило, что хакеры продавали рекламу на фальшивых сайтах по стоимости оригиналов, а «армия ботов» просматривала на них промо-ролики. Таким образом рекламодатель получал по 200–300 тысяч просмотров ежедневно, а создатели Methbot – от $3 млн до $5 млн в день.
«Эта атака была совершена на все отрасли, – заявил генеральный директор White Ops Майкл Тиффани. – Они грабили и рекламодателей, и издателей, работали на крайне серьезном уровне, что просто невероятно».
The New York Times, которая также ознакомилась с докладом White Ops, добавила, что Methbot создали для того, чтобы заработать денег. Эти хакеры не причастны к кибератакам на США во время президентской избирательной кампании, подчеркнула газета.
REPUBLIC ПООБЩАЛСЯ С ВОЗМОЖНЫМ АВТОРОМ СЕТИ, ЗАРАБАТЫВАВШЕЙ $3–5 МЛН В ДЕНЬ НА ФАЛЬШИВОЙ РЕКЛАМЕ
Аферу предположительно «русских хакеров», создавших сеть Methbot, специалисты обнаружившей их сеть компании White Ops назвали одной из крупнейших в истории рынка видеорекламы. По мнению расследователей, ежедневно создатели Methbot могли зарабатывать от $3 млн до $5 млн в день. Хакеры создавали сайты-копии крупнейших интернет-ресурсов – CNN, Facebook, The New York Times и многих других – и продавали на них видеорекламу, накручивая просмотры с помощью своей сети. Тем самым, по сути, они грабили как доверчивых рекламодателей, так и владельцев площадок, на которых должна была размещаться реклама.
Специалисты White Ops следили за группой с сентября 2015 года, но рассказать о ней публично решили только сейчас: сеть фальшивых сайтов «стала слишком большой». Называя ее создателей «русскими хакерами», White Ops не приводит никаких доказательств. Но среди возможных жертв мошенников оказалось больше десятка российских сайтов, включая «Яндекс» и несколько крупных СМИ, а накрутка показов могла осуществляться с IP-адресов Магнитогорского металлургического комбината.
Republic выяснил, как создатели Methbot могут быть связаны с Россией, и поговорил с программистом, которого называют автором хакерской сети.
РУССКИЕ ИЛИ НЕТ?
Хотя все мировые СМИ в заголовках новостей о раскрытии аферы написали о «русских хакерах», в первоисточнике – отчете White Ops – слово «русский» встречается ровно один раз и ничем не подтверждается. «К сожалению, топ-менеджеры White Ops не могут вдаваться в подробности. Они выразили полную уверенность в этом [российском происхождении хакеров], но не могут предоставить информацию, так как они участвуют в расследовании правоохранительных органов США», – сказал Republic представитель White Ops.
В интервью американскому Forbes глава White Ops Эдди Шварц сказал, что компания нашла связи между дата-центрами, которые использовались в ходе аферы, и «уникальными сигналами», которые использовали хакеры. Он отказался приводить детали, опасаясь раскрыть слишком много подробностей о Methbot. «У нас нет сомнений, что это группа из России. Сейчас мы уже в течение нескольких недель работаем с федеральными правоохранительными органами», – заявил Шварц.
Впрочем, косвенные доказательства, что Methbot может быть связана с Россией, существуют. Их в своем блоге приводит эксперт по кибербезопасности и бывший журналист The Washington Post Брайан Кребс. Так, в отчете White Ops приведен пример фальшивого домена, якобы зарегистрированного от лица компании Time Warner. В качестве обратного адреса для связи при регистрации домена был указан
adw0rd.yandex.ru@gmail.com (вместо буквы «о» в слове «adword» стоит ноль). Для тестирования своего «рекламного кода» создатели Methbot сначала использовали программу Zombie, а для сбора информации о видеорекламе – программу Cheerio. Обе программы обсуждались в 2015 году в одной из веток русскоязычного форума pyha.ru. Ветка была начата разработчиком, использовавшим ник adw0rd. В профиле этого пользователя указано, что он из Санкт-Петербурга, а в качестве электронного адреса для связи указан
adw0rd@pyha.ru. Этот же адрес есть на сайте adw0rd.ru – личном сайте разработчика Михаила Андреева. На сайте также указано, что ник adw0rd разработчик использует в Facebook, Google, Twitter, LinkedIn, Github и «ВКонтакте».
В переписке с Republic Андреев сказал, что видел статью Кребса, о которой ему рассказал друг, который читает «подобные издания». «Я не имею никакого отношения к Methbot», – сказал Андреев. По его словам, Zombie и Cheerio – обычные повседневные программы для тестирования сайтов, которые используют тысячи программистов. «Кребс просто притягивает за уши всю историю», – считает он. Представители White Ops, как и сотрудники правоохранительных органов, к нему не обращались. «Я думаю, если органы будут разбираться, то поймут, что я не имею никакого отношения к Methbot. А тем более к таким суммам, которые явно завышены (так считают и специалисты в области рекламы). Выглядит так, что White Ops просто пиарится», – написал корреспонденту Republic Андреев. На вопрос о связи его ника с адресом, указанным при регистрации домена, он ответил, что это не его почта. По его словам, Андреев даже попробовал через процедуру восстановления пароля проверить, какой номер телефона к нему привязан. При восстановлении пароля указываются две последние цифры номера. По словам Андреева, он им никогда не владел.
КАК METHBOT СВЯЗАНА С МАГНИТОГОРСКИМ МЕТАЛЛУРГИЧЕСКИМ КОМБИНАТОМ?
Кребс также отмечает, что при регистрации многих IP-адресов, которые White Ops связывает c Methbot, указан адрес
stepanenko.aa@mmk.ru. Такой же адрес указан на странице контактов дочерней компании комбината, «ММК-Информсервис». Согласно сайту, адрес принадлежит Степаненко Алексею Анатольевичу, старшему менеджеру группы поддержки систем управления IT этой компании. «ММК-Информсервис» – дочерняя структура ММК, которая отвечает за информационные системы компании. Действительно, в списке IP-адресов, задействованных в атаке, есть целый кластер адресов, которые числятся за ММК. Как их могли задействовать хакеры? Для этого можно, например, заразить компьютеры с таким IP-адресом вредоносным кодом, а затем использовать их в ботсети. Кребс отмечает, что адрес
stepanenko.aa@mmk.ru фигурирует в одной из веток форума, где предлагалась аренда IP-адресов за деньги. Там Алексея Степаненко называют владельцем IP-адресов, которые предлагалось арендовать.
По рабочему телефону «ММК-Информсервис» Степаненко не отвечал. Заместитель начальника отдела, в котором работает Степаненко, Игорь Ратушный сказал Republic, что IP-адреса компании не входят в его сферу ответственности. Телефон коллеги Ратушного, к которому тот направил Republic, не отвечал.
Представители ММК заявили Republic, что с середины 90-х годов и по настоящее время за ОАО «Магнитогорский металлургический комбинат» действительно зарегистрирован определенный диапазон сетевых адресов (IP), но сейчас ММК не использует их при обмене информацией в интернете. «Было установлено, что часть диапазона сетевых адресов была несанкционированно использована и используется по настоящее время неизвестными лицами на территории США», – говорится в письме представителей комбината. По их словам, информация о работнике ООО «ММК-Информсервис» попала в публикации лишь потому, что его электронный почтовый адрес уже несколько лет официально указан в качестве контактного в базе данных европейского интернет-регистратора (RIPE NCC) для сетевых адресов, зарегистрированных за ОАО «ММК» и частично используемых в настоящее время злоумышленниками.
«Таким образом, ни ОАО “ММК”, ни ООО “ММК-Информсервис” не имеют никакого отношения к созданию botnet-сетей типа Methbot. В ближайшее время планируется направить официальный запрос в службу технической поддержки RIPE NCC с целью блокировки несанкционированного использования зарегистрированных за ОАО “ММК” сетевых адресов», – говорится в письме.
Исследователь безопасности компании Digital Security Владислав Воронков отмечает, что в отчете White Ops не сказано, как хакеры получили доступ к IP-адресам, но можно предположить, что они могли законно покупать или арендовать адреса, а потом изменяли информацию о них (или не изменяли, как в случае с ММК). Как отмечает Воронков, хакеры, согласно отчету White Ops, использовали около 32,7 тысячи IP-адресов ММК. Зачем компании может понадобиться столько IP-адресов, эксперт затруднился ответить. «Многие организации сдают свои неиспользуемые IP-адреса в аренду, это распространенное и выгодное дело», – говорит Воронков. IP-адресов много, но свободные адреса практически кончились – они так или иначе кем-то заняты. Для этого несколько лет назад в мире начался переход со стандарта IPv4 на стандарт IPv6, у нового стандарта больше разрядность и количество адресов.
По данным сайта IPaddress.ru, аренда четырех тысяч IP-адресов стоит около 78 тысяч рублей в месяц. Таким образом, аренда 32,7 тысячи адресов могла стоить более 600 тысяч рублей в месяц. На вопрос, сдавались ли IP-адреса в аренду, представители ММК не ответили.
КАК ПОСТРАДАЛИ РОССИЙСКИЕ САЙТЫ?
Компания White Ops опубликовала и список доменных имен, владельцы которых могли пострадать от действий Methbot. В списке несколько тысяч доменов. Большинство из них находятся в зоне «.com», но есть и российские сайты в зоне «.ru». Среди них есть «Яндекс», сайты «Советского спорта», «Эха Москвы», «Вестей», телеканала «Звезда», Dni.ru, Lenta.ru и нескольких других. На запрос Republic представители «Яндекса» не ответили.
Как работала система? Злоумышленники создали список сайтов, которые пользовались интересом у рекламодателей. Затем создавалась фальшивая страница: она копировала официальную страницу СМИ и содержала схожий контент. На лжестранице располагался видеоплеер, в котором и показывалась реклама.
Проблема накрутки просмотров видеороликов и рекламы ботами существует давно и имеет серьезный масштаб. В мае 2015 года издание Ad Age публиковало статью о секретном лондонском подразделении Google по борьбе с ботами, в котором работает около ста человек. Тогда Ad Age приводило прогноз White Ops, согласно которому в 2015 году рекламная индустрия может потерять из-за ботов $6,5 млрд.
Создателям Methbot удалось обойти системы борьбы с ботами. Они создали сеть, куда входили больше полумиллиона фальшивых пользователей, которые могли полностью имитировать человека. «Видео просматривалось так, как это делал бы человек: останавливал его периодически, перематывал, кликал куда-то», – объясняет Воронков.
Парадоксально, но состава киберпреступления в работе сети рекламных аферистов Воронков не видит. «Нет никакого вредоносного софта, никакие компьютеры не заражали, ничего не взламывали. Может, конечно, PDF White Ops не раскрывает всех деталей, но на данный момент все вроде в рамках закона», – считает Воронков. Впрочем, рекламодатели, которым создатели Methbot продавали просмотры на фальшивых сайтах, наверняка так не считают.
