
Российская «тусовка» спамеров, зарабатывавшая на нелегальной продаже фармацевтических препаратов в интернете, активно боролась с разработчиками антиспам- фильтров. Как утверждает американский журналист Брайн Кребс, россияне атаками и угрозами вынудили закрыться компанию Blue Security, разработавшую инновационный метод борьбы со спамом, и собрались средства для атаки против организации Spamhaus, сообщает CNews.
В США вышла книга журналиста Брайана Кребса (Brain Krebs) “Spam Nation”, посвященная российским спамерам и киберпреступности. В числе прочего в книге рассказывается о том, как спамеры атаковали организации, пытавшиеся противостоять распространению спама.
Одной из неудачных попыток противостоять распространению является компания Blue Security, созданная израильскими эмигрантами из СССР и имевшая офис в США. Компания предложила инновационную технологию борьбы со спамом и привлекла $4 млн венчурного финансирования. По состоянию на 2006 г. у компании было более 500 тыс. платных пользователей, установивших разработанное компанией приложение Blue Frog.
Идея Blue Security состояла в том, чтобы атаковать спамеров до тех пор, пока они не исключат клиентов компании из их адресных баз. Такая тактика приносила плоды, но раздражала самих спамеров. В те годы основным источником спама были партнерские программы по нелегальной продаже фармацевтических препаратов в интернете.
Через такого рода партнерские программы пользователям из США и Европы предлагалось приобретать так называемые «дженерики»: произведенные в странах Азии поддельные препараты, схожие по свойствам с известными лекарствами. «Дженерики» стоят значительно дешевле оригинальных препаратов, а для их приобретения не требуется рецептов. Любой желающий веб-мастер мог вступить в партнерские программы и, сделав свою витрину, получать проценты с продаж. Главным источником «маркетинга» в таких программах был спам.
В создании партнерских программ преуспели, в первую очередь, российские хакеры. Основной партнерской программой по распространению фармацевтических препаратов в интернете до 2010 г были Glavmed и Spamit, созданные россиянином Игорем Гусевым. Для рассылки спама, как правило, используются ботнеты: сети из большого числа зараженных компьютеров, владельцы которых не знают об их участии в рассылке спама.
Главной площадкой для «тусовки» российских спамеров был форум Spamdot.biz. Журналы оставленных на этом форуме сообщений имеются в распоряжении Брайана Кребса. Именно на Spamdot.biz спамеры стали обсуждать меры по борьбе с Blue Security. Спамеры осознали, что предложенная компанией идея содержит серьезную уязвимость. Спамерам, согласившимся сотрудничать с компанией, предлагалось установить специальное ПО, блокирующее отправку спама на адреса клиентов Blue Security. Сама адресная книга в данном ПО была зашифрована.
Но спамеры догадались, что если сравнить их базы рассылки с перечнем пропущенных Blue Security сообщений, то можно будет вычислить адреса клиентов Blue Security. Далее на их адреса были отправлены сообщения с угрозами. В них утверждалось, что деятельность Blue Security незаконна, что жертвами компании становятся, в том числе, ресурсы, не связанные со спамом, а за самой компанией стоят бывшие спамеры.
Авторы послания предупреждали клиентов Blue Security, что устанавливаемое ими ПО Blue Frog создает на их компьютерах backdoor («черный вход» для управления компьютером злоумышленниками), с помощью которого можно устраивать DDoS-атаки и производить рассылки спама, в том числе содержащего порнографию и предложения по продаже фармацевтических препаратов.
Соответственно, клиенты Blue Security будут обвинены в участии в атаках и рассылки спама, предупреждали авторы письма. А сам список адресов клиентов компании будет опубликован и станет доступен для спамеров, после чего поток рассылаемого на эти адреса спама вырастит в десятки раз, предупреждалось в письмах. Также злоумышленники написали сотрудникам Blue Security письма о том, что они обладают базой адресов 70% клиентов компании, и за оставшиеся 30% они готовы заплатить $50 тыс.
Затем участник форума Spamdot.biz под ником BoT придумал способ атаковать саму компанию. Спамеры зарегистрировал ряд доменов, с которых стояла переадресация на подконтрольный злоумышленникам ресурс. Пользователей Blue Security стали забрасывать большим потоком спама с возможностью «отписаться». Когда пользователи нажимали эту кнопку, они через подставные домены попадали на упомянутый сайт.
С началом массовой рассылки спамеры поставили переадресацию с подконтрольного им ресурса на сайт Blue Security. После чего сайт компании стал недоступен. Гендиректор канадского хостинг-провайдера Tucows Эллиот Носс (Elliot Noss), обслуживавшего сайт Blue Security, сообщил, что лишь несколько интернет-компаний в мире смогли бы справиться с такой атакой.
Атака продолжалась две недели. Blue Security распространил сообщение об этом в своем блоге на платформе Blogs.com, обслуживаемой компанией Six Apart (владела в те годы сервисом Livejournal), и поставил переадресацию со своего сайта на эту страницу. После этого под атакой оказались сервера Six Apart, из-за чего начались проблемы с доступом ко многим обслуживаемым данной компанией блогам.
BoT высказывал также предложение поставить переадресацию с ресурса, куда попадают пользователи Blue Security, на сайты крупных СМИ наподобие BBC, Reuters и CNN. Те бы стали писать о том, что функционирование мирового интернета находится под угрозой из-за деятельности Blue Security. По подсчетам Кребса, атака обошлась ее устроителям в $15 тыс.
Спамеры перешли к прямым угрозам и гендиректору Blue Security Эрену Решефу (Eren Reshef) и его семье. Так, ему прислали фотографии его детей, которые он сам до этого не видел. Компания пыталась обращаться за защитой в ФБР, но дальше формальной защиты дело не сдвинулось.
В результате создатели Blue Security вывесили «белый флаг» и согласились не переговоры. С этой целью злоумышленники прислали Решефу ссылку на один из сайтов с продажей фармацевтических препаратов, в HTML-коде которого содержалось написанное на транслите сообщение: «preved, stuchis v asku» (далее был указан номер мессенджера ICQ, которым пользовались злоумышленники). В разговоре по ICQ человеком с ником Pharmaster предупредил гендиректора Blue Security, что ему предстоит понять, с кем они связался, и что системы компании будут выведены из строя на несколько месяцев.
Тодд Андервуд (Todd Underwood), гендиректор занимающейся интернет-безопасностью компании Renesys, говорит, что когда только Blue Security представила свою бизнес-модель, эксперты сразу назвали ее «ужасной» и предупредили о побочных последствиях. «Однако история компании печальна, так как она закончилась победой спамеров», - заключает Андервуд. Кребс отмечают, что индустрия спама приносила ее создателям миллионы долларов в месяц, а компания Blue Security, став угрозой для их бизнеса, за это поплатилась.
Кребс пишет, что за организации атак против Blue Security стояли пользователи форума Spamdot.biz под никами Mr. Green и Zliden. Согласно данным организации Spamhaus, занимающейся борьбой со спамом, за этими никами скрывались Влад Хохольков и Лео Куваев соответственно. Они оба известны как организаторы партнерских программ по распространению фармацевтических препаратов в интернете, включая Mailien и Rx-Partners.
Куваев жил в США и был обвинен в организации DDoS-атак, распространении пиратского ПО и рассылке спама. Суд обязал Куваева выплатить штраф в размере $37 млн из-за продаж пиратских копий ПО Microsoft. После этого он вернулся в Россию. Здесь его обвинили в педофилии и в 2012 г. осудили на 20 лет (впоследствии срок заключения сократили до 10 лет).
Вскоре после атаки на Blue Security, Mr Green попросил администрацию форума Spamdot.biz удалить его аккаунт и все его сообщения. Однако копии оставленных им сообщений остались в качестве цитат в сообщениях других пользователей форума, из чего Кребс и сделал вывод о том, кто стоял за атакой. Впрочем, сам Хохольков в переписке с Кребсом отверг за свою роль в этой истории.
Другой, более распространенный метод борьбы со спамом, состоит в формировании черного списка IP-адресов, с которых распространяется спам. Сюда попадают как адреса хостинг-провайдеров, не препятствующих распространению спама, так и адреса компьютеров зараженных пользователей. Сообщения с данных адресов могут фильтроваться интернет-провайдерами и организациями для сокращения потоков спама. Наиболее известными организациями, составляющими такие списки, являются URIBL, SURBL и упомянутая Spamhaus.
Осенью 2008 г. на форуме Spamdot.biz начался сбор средств для организации DDoS-атаки против упомянутых организаций, а также против созданной основателем Spamhaus Стивом Линфордом (Steve Linford) компании uxn.com и ресурса ultradesign.com, хранящего резервные копии базы Spamhaus. Администратор форума под ником Ika сообщил, что для организации атаки собрано $3 тыс, еще $1 тыс была потрачена на покупку ботов по цене $25 за 1 тыс.
В соответствующем обсуждении на Spamdot.biz представитель одной из партнерских программ по распространению фармацевтических препаратов – Afiilate Connection – сообщил, что связанные с ней спамеры готовы предоставить миллионы зараженных ими компьютеров для участия в атаке. Однако, предупреждал представитель Affilate Connection, в ответ борцы со спамом могут внести в «черные списки» все участвующие в атаки компьютеры, что лишит спамеров возможных заработков с их помощью. Кроме того, организации по борьбе со спамом обзавелись инфраструктурой для отражения DDoS-атак.
Спамер с ником Gera, создавший ботнет Grum и участвующий в партнерских программах по распространению фармацевтических препаратов в интернете, призывал других спамеров принять участие в атаке и «помочь индустрии». «Я обращаюсь к крупным спамерам: вы зарабатываете на комиссиях от $50 тыс. до $200 тыс. в месяц, неужели вам сложно выделить $3 тыс. для решения данной проблемы?» - спрашивал Gera. Кребс, изучив использовавшийся Gera электронный кошелек в системе Webmoney, полагает, что этим ником пользовался Николай Косторгыз.
Пользователь с ником Docent, создатель ботнета Mega-D, соглашался принять участие в финансировании будущей атаки. С другой стороны, пользователь с ником Severa, создатель ботнетов Waleac и Storm, неожиданно выступил против атаки. По его мнению, весьма нетипичному для спамеров, жизнь без антиспам-фильтров уже нельзя представить: они ставят барьер от неопытных спамеров.
«Представьте, что будет, если все антиспам-фильтры перестанут работать, - предупреждал Severa. – Сможете ли вы тогда заработать деньги? Нет! В этом случае электронная почта просто перестанет существовать как вид коммуникаций. Поэтому, Spamhaus – это не хорошо и не плохо: Spamhaus – это просто Spamhaus». По мнению Spamhaus, за ником Severa стоял хакер Петр Левашов, который в 2017 г. был арестован в Испании и затем экстрадирован в США, где его приговорили к 33 месяцам заключения.
Другой пользователь форума с ником Swank согласился с Severa, но лишь частично. «Действительно, антиспам-фильтры полезны для интернета, так как обе стороны – спамеры и борцы с ними – постоянно совершенствуются в борьбе с другом, - рассуждал Swank - Это позволят технологиям постоянно улучшаться и дает защиту от неопытных спамеров, сохраняя доход для профессионалов. Однако «тупые» организации наподобие Spamhaus ведут себя нечестно по отношении к организаторам легитимных email-рассылок. Spamhaus ненавидит email-маркетинг как таковой, независимо от того, является ли рассылка легитимной или нет. Поэтому этой организации следует дать понять, что она не является неприкасаемой».
В октябре 2008 г. Gera анонсировал атаку против Spamhaus с помощью специально разработанного ПО – Anti-haus v. 1.0, которое должно было распространяться среди владельцев крупнейших ботнетов. Впрочем, в самом Spamhaus Кребсу заявили, что в тот период времени организации не зафиксировала крупных атак против своей инфраструктуры.
Однако крупная атака против Spamhaus все-таки состоялась – в марте 2013 г. Тогда ряд хостинг-провайдеров, размещающих незаконные материалы (bluetproof), объединились в коалицию под названием Stophaus и создали соответствующий онлайн-форум. Атака стала местью Spamhaus за то, что организация внесла в черные списки адреса одного из таких хостинг-провайдеров – голландского CB3ROB (другое название – Cyberbunker).
Атака продолжалась девять дней, ее мощность достигала 300 Гбит/с. Атака была организована с помощью ложных запросов к DNS-серверам, которые в качестве ответов отправляли сообщения атакуемым ресурсам. Атака создала проблемы для миллионов пользователей ресурсов, размещенных на площадках одного из крупнейших в мире хостинг-провайдеров CloudFlare (обслуживает Spamhaus). Атаке также подверглись точки обмена трафиком в Лондоне, Амстердаме, Франкфурте и Гонконге.
Впоследствии по обвинению в организации атаки в Испании был арестован гражданин Нидерландов Свен Олаф Кампфуйс (Sven Olaf Kamphuis), которого затем экстрадировали на родину. Правда, сам обвиняемый отрицал свое участие в атаке, утверждая, что они лишь является пресс-секретарем CB3ROB.
Существуют и другие формы борьбы со спам. Одну из идей на этот счет предложил активист Адам Дрейк (Adam Drake), создатель посвященного борьбе со спамом форума Inboxrevenge.com. Идея Дрейка состояла в автоматическом создании большого числа фиктивных телефонных заказов на покупку фармацевтических препаратов через упомянутые партнерские программы, содержащих ложные контактные данные и номера банковских карт. Таким образом, спамеры вынуждены были бы вручную проверять заказы, отправка заказов реальных пользователям замедлилась бы, что в итоге должно было снизить интерес к клиентам к подобного рода схемам.
В районе 2007 г. таким образом спамерам каждый день отправлялось 20-30 тыс. ложных заказов. В ответ спамеры создали системы для борьбы с мошенническими заказами (antifraud), проверяя данные заказов и помечая их как «высокорискованные». Но эта же система стала отбраковывать и легитимные заказы.
Изучение базы клиентов Spamit и Glavmed, имеющихся в распоряжении Брайана Кребса, показало, что в данных партнерских программах как рискованные помечались даже заказы со средней степенью подозрительности. Например, причиной для отклонения заказа могло стать указание телефонного номера, не совпадающего с ZIP-кодом адреса, связанного с банковской картой заказчика. «Наша идея принесла спамерам денежные потери», - радуется Дрейк.
Спамер Игорь Вишневский, один из создателей бот-нета Cutmail, говорит, что созданная спамерами система борьбы с мошенничеством принесла им дополнительную выгоду: они блокировала фальшивые заказы от партнеров, которые генерировали их с помощью украденных данных банковских карт. Такого рода заказы приносили спамерам убытки не только из-за стоимости телефонных звонков, но и привлекали внимание международных платежных систем, борющихся с мошенничеством с помощью банковских карт.
Кроме того, для того, чтобы противодействовать борцам со спамом, спамеры применили новую тактику: они стали создавать большое число сайтов по продаже фармацевтических препаратов, не давая какому-либо сайту возможности долго работать. В результате пользователь, нажав ссылку в спам-сообщении с рекламой фармацевтических препаратов, попадал на иной сайт, недели пользователь, нажавший ссылку в аналогичном сообщении за несколько секунд до того. Также в партнерских программах Spamit и Glavmed создавались «черные списки» адресов сотрудников Mastercard, Visa и фармацевтических компаний, дабы избежать отправки заказов им и не попасть в проводимые ими проверки.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.