Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов
Кодеры (вендоры троянов), ботнетчики, заливщики, нальщики (и в некоторых случаях дропы) – основные участники преступной деятельности. Именно они обычно составляют ядро преступных групп. Однако это представители еще не всех специальностей, участие которых необходимо для успешного функционирования ботнетов и совершения хищений денежных средств. Носители следующих криминальных специальностей обычно в состав преступных групп не входят и оказывают услуги широкому спектру компьютерных преступников различной специализации, а не только работающим «по заливам».
4.2.7. Поставщики услуг абузоустойчивого хостинга
Хостинг (от англ. host — принимающий гостей) – услуга по предоставлению вычислительных мощностей для размещения информации на сервере, постоянно находящемся в интернете. Оказанием таких услуг для размещения в сети веб-сайтов и иных ресурсов занимается большое количество легальных организаций во всем мире. Однако такие ресурсы, как центры управления ботнетами, опасно размещать на легальных хостингах, так как при выявлении их вредоносной деятельности поступают жалобы из разных источников, что может быстро привести к отказу в обслуживании и утрате ресурса, если хостинг легальный.
Услуги размещения для различного рода нелегальных ресурсов оказывают так называемые абузоустойчивые (от англ. abuse — жалоба) хостинги, поддерживаемые как организациями, так и частными лицами. Главное преимущество услуг подобных хостингов по сравнению с легальными – невосприимчивость их владельцев к любым жалобам и запросам о предоставлении информации со стороны государственных органов, коммерческих организаций или частных лиц. Владелец такого хостинга не требует раскрытия личности от своих анонимных клиентов, не ведет статистику доступа к серверам и трафика, не выдает информацию сотрудникам спецслужб и, разумеется, не предоставляет возможностей для организации оперативно-разыскных мероприятий. В некоторых случаях, как уже было отмечено выше, абузоустойчивый хостер предлагает ботнетчикам дополнительные услуги типа администрирования серверов, управления IP-адресами и доменными именами.
Серверы абузоустойчивых хостингов обычно находятся в странах, власти которых не осуществляют тщательного контроля интернета, или реальное местонахождение серверов скрывается различными техническими способами. Основные клиенты – ботнетчики всех видов, спамеры, распространители порнографических материалов, пиратских программ, фильмов и музыки, запрещенных медикаментов и т. п. Стоимость такого хостинга значительно выше стоимости легального хостинга. Например, аренда одинаковых по техническим характеристикам серверов может стоить $50 в месяц у легального хостера и $500 в месяц у абузоустойчивого хостера. В случае размещения центров управления ботнетами на основе банковских троянов такие расходы полностью себя оправдывают.
Услуги анонимных хостингов обычно предлагаются на тех же сетевых площадках, что и остальные криминальные товары (услуги). Здесь необходимо отметить, что на практике встречаются, конечно, и случаи размещения центров управления ботнетами на легальных хостингах при условии, что доступ ботов к ним обеспечивается не напрямую, а через промежуточные серверы, размещенные в иных местах.
4.2.8. Траферы (поставщики трафика)
Сетевой трафик в общепринятом значении – это количество посещений (буквально – физически подключившихся компьютеров и устройств пользователей) того или иного ресурса в интернете. Трафик обладает ценностью, и для его генерации используются различные способы и средства, как явные, так и скрытые, приводящие посетителей на нужный ресурс. В сети существуют биржи трафика, где он продается или обменивается. Основной способ монетизации трафика в сети – направление его для накрутки рейтингов веб-сайтов, для увеличения показов рекламных материалов, в партнерские программы, на порносайты и т. п. Такой трафик обычно называют белым.
Применительно к распространению вредоносных программ покупка или перенаправление трафика – способ получения новых заражений и увеличения числа ботов в ботнетах. Субъекты такого черного трафика – обычные пользователи – незаметно направляются на ресурсы, где при помощи специальных вредоносных программ или кодов (эксплойтов) осуществляются проникновение в системы и установка вредоносных программ. В отличие от случая с белым трафиком, когда пользователь, хотя и при помощи неких технических приемов, открыто приводится на нужный ресурс (буквально может его увидеть), в случае с черным трафиком пользователь, как правило, не замечает, что его компьютер соединялся с ресурсом, распространяющим вредоносные программы.
Специалист, занимающийся получением, агрегацией или перепродажей трафика для криминальных целей, называется на жаргоне трафером. Источниками трафика для него являются: взломанные (скомпрометированные) легальные веб-сайты, с которых происходит незаметное для посетителей перенаправление (так называемая drive-by загрузка) на связки эксплойтов; сайты-ловушки (дорвеи, сателлиты); рассылки спама; другие ранее установленные вредоносные программы. Эксплуатация уязвимостей на популярных веб-сайтах является наиболее ценным источником трафика, так как позволяет получить целевой трафик (например, если используются бухгалтерские или банковские веб-сайты). После того как веб-сайт каким-либо образом взломан, в исходный код его страниц встраивается вредоносный код, который вместе с содержимым страниц выдает посетителям вредоносные компоненты.
Трафик обычно измеряется в тысячах и классифицируется по стране происхождения, типу (компьютерный или мобильный, например на платформе Android) и тематике. Наиболее ценная тематика трафика для банковских ботнетов – финансовая и коммерческая. Такой трафик поступает со взломанных веб-сайтов соответствующей направленности, посетители которых с большей вероятностью пользуются ЭСП. Еще одна характеристика трафика – его уникальность. Продавец трафика может «отгружать» его в одни руки или нескольким заказчикам. В последнем случае эффективность получаемых ботов значительно снижается, так как на них может оказаться несколько различных вредоносных программ.
Необходимо также отметить, что покупка трафика – не единственный способ пополнения ботнетов и, следовательно, использование услуг траферов не является обязательным. Владельцы крупных ботнетов иногда самостоятельно занимаются генерацией трафика, взламывая веб-сайты, реквизиты доступа к которым поступают в центры управления от ботов. Еще один способ увеличения числа ботов – «покупка загрузок». Под этим термином понимается оплата установки вредоносных программ на компьютеры и устройства, предварительно зараженные специальными программами. Продажей загрузок обычно занимаются владельцы ботнетов, построенных на основе небольших вредоносных программ – лоадеров. Покупка загрузок считается малоэффективным способом наполнения ботнета, так как с целью извлечения максимальной прибыли загрузки обычно продаются сразу нескольким клиентам и устанавливаемые таким образом вредоносные программы имеют минимальный срок жизни. Кроме того, при покупке загрузок не может быть обеспечена необходимая целевая тематика.
Что касается трафика, то он должен быть направлен на заражение вредоносными программами. Заражение производится посредством так называемых эксплойтов (сокр. «сплойты»), разработка и поставка которых являются отдельным важным направлением преступной деятельности в сфере компьютерной информации.
4.2.9. Поставщики эксплойтов
Эксплойты или сплойты – небольшие вредоносные компьютерные программы, фрагменты программного