Ботнетов в мире много, среди них есть как откровенно неудачные (если это слово применимо в этом случае) ботнеты, так и системы, которые можно назвать произведением искусства. Кроме того, цели разработчиков ботнетов самые разные. Наиболее распространенная цель — заработок денег.
Разработчикам фермы ботов Methbot удалось создать настоящую денежную машину, которая приносит своим владельцам по нескольку миллионов долларов США в день. Первыми этот ботнет обнаружили специалисты White Ops, которые и проанализировали его работу. По мнению экспертов, ботнет принадлежит хакерской группе AFT13, считающейся российской.
Ботнеты часто специализируются на рекламе. Разработчики таких систем разными способами заражают ПК пользователей вредоносным ПО, которое обеспечивает клики и просмотры рекламы, что приносит создателю такой системы, порой, очень неплохие суммы. Разработчикам ботнета, о котором идет речь, показалось недостаточно хорошей идея заражать ПК пользователей. Они решили поработать с «мертвыми душами», то есть фальшивыми пользователями.
После детального анализа ботнета оказалось, что созданная киберпреступниками инфраструктура включает около 800-1200 серверов. Они расположены в дата-центрах США и Нидерландов. Злоумышленники имеют и базу из более, чем полумиллиона IPv4-адресов. Эти адреса имеют географическую привязку к США. Такой объем реальных адресов, по разным оценкам, может стоить около $2-$4 млн.
Так вот, авторы Methbot работают по оригинальной схеме: они используют подмену адресов своих собственных сайтов. Сначала бот в автоматическом режиме выбирает домен или же адрес из списка премиум публикаторов. После этого в том же автоматическом режиме создается подставная страница, где есть все необходимые для генерации рекламы и запросов видеорекламы из различных рекламных сетей. Рекламу бот обрабатывает в ходе симуляции браузера через прокси. При этом, как уже говорилось, используются приемы, помогающие ботнету имитировать работу обычного пользователя.
Сам бот отличается от прочих подобных проектов еще и развитой, но хорошо скрытой инфраструктурой. По всей видимости, разработчики давно реализовали свой план, где первым этапом является разворачивание инфраструктуры с одновременным ее скрытием. Работает эта ферма ботов с Node.js и рядом опенсорсных библиотек. Это позволяет злоумышленникам имитировать работу браузера. Для того, чтобы избежать обнаружения защитными системами, ботнет имитирует работу различных браузеров и операционных систем. Кроме того, система умело имитирует движения курсора мыши, клики, сетевую активность для того, чтобы защита рекламных систем не сработала.
Больше всего создатели ботнета зарабатывают на премиальной видеорекламе, которую «просматривают» поддельные пользователи из наиболее дорогих для клика регионов.
Сейчас к расследованию ситуации привлечены не только партнеры компании, раскрывшей ботнет, но и ФБР.
Автор: King Servers