Секретное подразделение Microsoft, или как победить армию ботнетов
Коварная сеть
В минувший четверг секретное подразделение Microsoft обнародовало результаты одной важной победы над сетевыми мошенниками. Вооруженные судебным ордером и помощью закона, команда предприняла меры по разрыву связей между европейскими серверами, которые считались мега-мозгом для армии из сети зомби-компьютеров под названием Zero Access.
Преступники годами использовали ботнет Zero Access, который состоял из вычислительных мощностей более, чем 2 миллионов взломанных компьютеров—или попросту ботов—по всему миру, для незаконного получения 2,7 миллионов долларов ежемесячно от рекламщиков в Сети.
Microsoft не знает кто именно стоит за Zero Access, чье название взято из кода в шпионском ПО, но подозревает ,что за этим стоят злоумышленники из Восточной Европы. На прошлой неделе компания подала гражданский иск в федеральный суд штата Техас, о высокой концентрации ботов. И получила разрешение на обрыв связей между зараженными компьютерами в США и основных серверах в Европе, принадлежащих 18 IP-адресам. Подразделение также заявило то том, что оно работает совместно с европейскими правоохранителями– Европолом, чтобы получить доступ к компьютерам, находящимся на территории Латвии, Германии, Швейцарии, Люксембурга и Нидерландов.
Эта скоординированная атака показывает агрессивность попыток бизнеса завладеть неконтролируемой частью Сети, где хакеры придумывают схемы по выкачиванию денег из рекламных объявлений.
Секретное подразделение Microsoft
У Microsoft есть отличные основания для спонсирования своих цифровых детективов. Под ударом хакеров находятся такие корпоративные ресурсы, как поисковик Bing; биржа ссылок Bing Ads; и конечно же ОС Windows, под которой работает значительное количество компьютеров в Сети. Вычисление и обезвреживание, как заявили в компании, Zero Access поможет защитить собственный бренд и репутацию.
Подразделение Microsoft, борющееся с компьютерными преступлений, недавно переехало в новую штаб-квартиру площадью более 1500 квадратных метров в Редмонде, штат Вашингтон. Здесь на стенах мерцают тачскрины, на которых детализируется информация о деятельности подозреваемых киберпреступников. Команда, в которую входит более 100 человек, одновременно, среди других преступлений расследует пять случаев распространения вредоносного ПО.
По расчетам аналитиков eMarketer, траты на цифровую рекламу в этом году в США должны вырасти на 14,9% - до 42,3 миллиардов долларов. Компания по компьютерной безопасности Solve Media Inc., оценивает приблизительные потери за этот год от «недопоказов» рекламы в 10 миллиардов долларов.
Схема мошеничества
Поскольку индустрия все больше перемещается в онлайн, создаются свои сложности и лазейки в этом лабиринте для различных преступников. Растущая автоматизация похожих на фондовые рынки бирж по продаже рекламы, где на световой скорости заключаются сделки в рекламном пространстве, затрудняет отслеживание различных участников сделки, что делает незащищенным всю систему в целом. Как заявляют в фирмах по компьютерной безопасности, эксплойты в ПО веб-сайтов и многочисленная прослойка посредников позволяет мошенникам легко скрываться.
Как и в большинстве случаев, мошенничество с цифровой рекламой включает в себя генерирование ложного трафика. Механизм работает потому что фирмы на рынке платят веб-сайтам за арендуемые площади в Сети, а платежи обычно определяются количеством людей, предположительно кликнувших по рекламе и перешедших на сайт рекламодателя.
Популярная схема мошенничества заключается в следующем: хакеры создают веб-сайты и напрямую взламывают компьютеры с них, создавая видимость реального трафика. Рекламодатели, заинтересованные объемом трафика, появляются на этих фейк-сайтах, на которых нет реальной аудитории. Иногда рекламодатели платят напрямую этим сайтам, а иногда через посредников.
ZeroAccess специализировалась на "кликах", благодаря, свой сети из двух миллионов ботов, которых она направляла, чтобы те кликали по 48 объявлений в час сутки напролет, как уверяют компьютерные сыщики. Еще одной схемой был "взлом поиска", когда пользовательские результаты запросов, скажем, в Google или Bing, перенаправлялись на сайты, принадлежащие преступникам,- об этом говорится в иске, поданном Microsoft.
В одном из случаев, сыщики из Microsoft заявили, что Zero Access направляла взломанный компьютер на шесть подозрительно выглядящих веб-сайтов с бесполезным контентом, перед тем как окончательно привести их к месту под названием search. lookcastle.com. Здесь было рекламное сообщение от кредитной фирмы creditrate.com, которую и кликал зомби-компьютер. Все это происходило в считанные мгновения, незаметно для пользовательского компьютера. Если бы Microsoft не выловила эту заразу, то creditrate.com пришлось бы платить.
"Это не просто дети, играющиеся с родительскими компьютерами",- говорит Стив Салливан, вице-президент по рекламным технологиям в промышленной группе Interactive Advertising Bureau, говоря о цифровом мошенничестве. "То, что мы имеем, сейчас, организованные преступные группы, действующие за рубежом, и нацелившиеся на всю рекламную отрасль".
В связи с усложнением схем мошенничества рекламная отрасль не собирается отсиживаться и переходит в атаку. Некоторые компании нанимают сторонних экспертов, а многие крупные игроки в индустрии создают свои собственные силы безопасности. Рекламная биржа App Nexus удвоила штат своих сыщиков за прошедший год. Одна из новейших бирж – Double Clickот Google, нанимает целую роту из более, чем 100 физиков, инженеров и докторов наук для целей безопасности.
Тысячная армия ботнетов
Скотт Спенсер, глава продакт-менеджментав DoubleClick говорит. Что иногда его команде удается уничтожить до 10 процентов трафика биржи, при использовании фильтра. В прошлом году они выперли около миллиона подозрительных сайтов с биржи. "Все равно, что у вас на веревочках подвязаны тысячи людей, и вы дирижируете ими как марионетками", - говорит Спенсер о мошенничествах.
На этой неделе группа IAB опубликовала сценарий для отрасли, в котором рекламодателям и веб-сайтам даются советы о том, как избежать мошенничества. Тем временем инициатива от IAB работает в системе для продавцов и покупателей для обмена информацией о мошенниках путем вычисления их в реальном времени.
Власти и компании, специализирующиеся на интернет-безопасности считают количество ботнетов тысячами. Более умные сети ботов действуют как люди, кликая по ссылкам, проигрывая видео и закидывая товары в свою корзину. Вычислить и уничтожить ботнет весьма непросто. Хакеры при их создании используют шифры и пароли и зачастую контролируют их из мест, располагающихся весьма далеко, там где законодательство намного мягче.
Microsoft заявляет о том, что за последние три года она предприняла действия против еще семи ботнетов. Этим летом Microsoft объединила свои усилия с ФБР, чтобы совершить нападение на ботнет под названием «Citadel»(Цитадель), который выкрадывал информацию о банковских счетах. Пока не ясно, кто стоит за операциями Citadel.
Благодаря своим расследованиям, подразделение Microsoft протестировало Zero Access в лабораторных условиях, подключив свои компьютеры к сети, чтобы узнать ее принцип работы. Операция проводилась в секрете, говорит Ричард Боскович, помощник генерального советника подразделения Microsoft, занимающегося расследованием. "Если плохие ребята заметят, что мы исследуем их, то они улизнут", - сказал он, или же "начнут подчищать" следы за собой.
Одержана ли победа?
В отличие от многих ботнетов, у Zero Access нет единого центрального сервера, контролирующего всю сеть. Вместо этого операторы сети могут использовать любой зараженный компьютер для рассылки преступных команд, что затрудняет ее уничтожение, говорят в Microsoft.
В своем гражданском иске, компания обвиняет Zero Access в "преступном обогащении". Уведомление об иске были разосланы хостинговым компаниям, где располагаются те самые18 IP-адресов, а также зарегистрированным владельцам 49 доменов, которые считаются поддерживающим механизмом ботнета, и также были отключены. Microsoft потребовала ответа от них, в противно случае их ждет заочное решение суда.
Самым большим вопросом остается то, будет ли атака Microsoft на Zero Access иметь долгосрочный эффект. Zero Access уже возвращалась из небытия. Этим летом компания Symantec вырубала ботнет, но сеть выстояла, добавив в свои ряды новые зомби-машины.
Через восемь часов после проведения операции в четверг, сыщики Microsoft говорили о том, что никаких признаков активности операторов Zero Access на данное мероприятие не было и то, что они зарегистрировали "значительный" спад в клик-мошенничестве, совершаемым зараженными компьютерами.
Заблокировав сервера Zero Access, Microsoft хочет раскрыть некоторые тайны криминального механизма, включая, личностей хакеров. Как заявил Боскович, детали операции переданы в ФБР.
"Если мы не сможем упечь плохих ребят за решетку", -говорит Крейг Шмидт, старший менеджер по расследованиям в Microsoft, "то, по крайней мере, сможем облегчить их кошельки".
Рубрика: Статьи / Изнутри
Просмотров: 3770 Метки: Microsoft , ботнет
Оставьте комментарий!