Ботнетов в мире много, среди них есть как откровенно неудачные (если это слово применимо в этом случае) ботнеты, так и системы, которые можно назвать произведением искусства. Кроме того, цели разработчиков ботнетов самые разные. Наиболее распространенная цель — заработок денег.
Разработчикам фермы ботов Methbot удалось создать настоящую денежную машину, которая приносит своим владельцам по нескольку миллионов долларов США в день. Первыми этот ботнет обнаружили специалисты White Ops, которые и проанализировали его работу. По мнению экспертов, ботнет принадлежит хакерской группе AFT13, считающейся российской.
Ботнеты часто специализируются на рекламе. Разработчики таких систем разными способами заражают ПК пользователей вредоносным ПО, которое обеспечивает клики и просмотры рекламы, что приносит создателю такой системы, порой, очень неплохие суммы. Разработчикам ботнета, о котором идет речь, показалось недостаточно хорошей идея заражать ПК пользователей. Они решили поработать с «мертвыми душами», то есть фальшивыми пользователями.
После детального анализа ботнета оказалось, что созданная киберпреступниками инфраструктура включает около 800-1200 серверов. Они расположены в дата-центрах США и Нидерландов. Злоумышленники имеют и базу из более, чем полумиллиона IPv4-адресов. Эти адреса имеют географическую привязку к США. Такой объем реальных адресов, по разным оценкам, может стоить около $2-$4 млн.
Так вот, авторы Methbot работают по оригинальной схеме: они используют подмену адресов своих собственных сайтов. Сначала бот в автоматическом режиме выбирает домен или же адрес из списка премиум публикаторов. После этого в том же автоматическом режиме создается подставная страница, где есть все необходимые для генерации рекламы и запросов видеорекламы из различных рекламных сетей. Рекламу бот обрабатывает в ходе симуляции браузера через прокси. При этом, как уже говорилось, используются приемы, помогающие ботнету имитировать работу обычного пользователя.
Сам бот отличается от прочих подобных проектов еще и развитой, но хорошо скрытой инфраструктурой. По всей видимости, разработчики давно реализовали свой план, где первым этапом является разворачивание инфраструктуры с одновременным ее скрытием. Работает эта ферма ботов с Node.js и рядом опенсорсных библиотек. Это позволяет злоумышленникам имитировать работу браузера. Для того, чтобы избежать обнаружения защитными системами, ботнет имитирует работу различных браузеров и операционных систем. Кроме того, система умело имитирует движения курсора мыши, клики, сетевую активность для того, чтобы защита рекламных систем не сработала.
Больше всего создатели ботнета зарабатывают на премиальной видеорекламе, которую «просматривают» поддельные пользователи из наиболее дорогих для клика регионов.
Сейчас к расследованию ситуации привлечены не только партнеры компании, раскрывшей ботнет, но и ФБР.
Комментарии (15)
fishca
22.12.2016 08:34-1Для того, чтобы избежать обнаружения защитными системами, ботнет имитирует работу различных браузеров и операционных систем. Кроме того, система умело имитирует движения курсора мыши, клики, сетевую активность для того, чтобы защита рекламных систем не сработала
В мирное русло бы их способности, прекрасный тестовый пакет для веб-приложений вышел.Shadow_ru
22.12.2016 11:58PhantomJS давно есть.
istinspring
23.12.2016 08:40фантом не подойдет. нужено полнофункциональный браузер. SlimerJS например
sergsh
22.12.2016 11:58А есть доказательства что это российская группа? Или это такой пример фиктивной новости?
Saffron
22.12.2016 14:51Я вот не понимаю. Пользователи скрывают рекламу — они жалуются. Пользователи кликают рекламу — они жалуются. Так что им нужно?
RockPresident
22.12.2016 15:29Они хотят, разумеется, чтобы настоящие пользователи, честно выбранные каким-нибудь алгоритмом (хотя бы географической выборкой, а лучше ещё их интересами) кликали на рекламу которая их на самом деле заинтересует. Таким образом это будут пользователи с настоящим, высоким (относительно случайного человека) conversion rate. Будут покупаться настоящие продукты, которые и рекламируются. При обычной работе рекламной сети так и происходит.
В данном же случае рекламу кликают не настоящие пользователи, а боты — которые никогда не будут покупать продукты которые рекламируются.Saffron
22.12.2016 16:29+3> кликали на рекламу которая их на самом деле заинтересует
Пользователи, которые блочат рекламу, честно признаются, что им не интересна реклама. Вовсе. Но им тыкают в нос, что они ведут себя плохо и обижают владельцев сайтов, которым нечего есть будет скоро. Тогда пользователи включают ботов и кликают на рекламу. Теперь уже жалуются рекламодатели.
> Таким образом это будут пользователи с настоящим, высоким (относительно случайного человека) conversion rate.
А что если на сайт ходят другие пользователи? Они что, будут не настоящими? Вот если я не ведусь на разводки и рекламу всегда воспринимаю в штыки — я не пользователь?
> Будут покупаться настоящие продукты, которые и рекламируются
А вы заключили с пользователем какой-то договор, который обязывает их что-то покупать у ваших рекламных партнёров? Если не заключили договор, то какие гарантии вы можете требовать или давать? Пользователи что хотят, то и делают. Заключайте договор явно — и посмотрите, сколько на сайте останется пользователей.
> При обычной работе рекламной сети так и происходит.
Ох уже эта «упущенная прибыль». Что такое обычная работа? Она где-то нормируется? Если вам везло получать прибыль и продавать товары, с чего вы взяли, что эта тенденция сохранится? Даже самые глупые пользователи со временем умнеют и учатся не доверять рекламе. А если сами они не догадаются — им может помочь друг, биологический или электрический.NickKolok
24.12.2016 17:11Не исключено, что скоро так и будет. При первом входе на сайт — «Пользовательское соглашение», обязывающее отключить адблок. И штрафы нарушителям. Спасает только то, что первый сайт, который так сделает, огребёт не по-детски…
NeverIn
22.12.2016 21:08Не очень понятна бизнес модель. Просмотр рекламы обеспечивают ботнеты, но сама реклама должна быть на ресурсе владельца ботнета?! Если это не СДЛ траффик будет подозрительным.
Old_Chroft
23.12.2016 08:11… используют подмену адресов своих собственных сайтов [...] автоматическом режиме создается подставная страница, где есть все необходимые для генерации рекламы и запросов видеорекламы...
Так что все правильно: создаются фейковые сайты, на которые заходят фейковые пользователи :-)
lightman
24.12.2016 12:02Эх, говорила мама, иди в хакеры. Но нет, я ж как все, хочу работать за з/п.
Да даже если для замаливания грехов четверть из этой суммы отдавать на благотворительность, ещё четверть — на исследования против опасных болезней, и ещё четверть да хоть в церковь, чтоб подстраховать свою грешную душу со всех возможных сторон, даже на остатки можно было бы себе жить.
Nord001
На ГТ побольше написано и пораньше:
https://geektimes.ru/post/283906/