бот мрежа

Последен ъпдейт на 5 декември 2018 в 10:27 ч.

Мащабна мрежа за фалшив трафик е заразила с малуер стотици хиляди компютри и е ощетила рекламодатели с поне 36 млн. долара. Един от заподозрените за организиране на мрежата е руския гражданин Алексанър Жуков, който беше арестуван във Варна в средата на ноември.

Мрежата, наречена 3ve, е засечена с помощта на  компанията за киберсигурност White Ops и интернет гиганта Google. В разследването са участвали и други компании за информационна сигурност като ESET.

Голяма мрежа от устройства-зомбита

Мрежата е генерирала фалшив трафик чрез две големи бот мрежи, 10 хил. фалшиви домейна и поне 1.7 млн. компрометирани IP адреса.

За да се случи това, компютрите на стотици хиляди потребители от цял свят са били заразени и превърнати в част от бот мрежите Boaxxe (известна и като Miuref или Methbot) и Kovter. Според US-CERT заразяването е ставало чрез имейл или чрез сваляне на зловреден файл от интернет. Заразени са предимно настолни компютри и мобилни устройства, а целта е била генериране на фалшив трафик.

Рекламодателите са плащали за този трафик, въпреки че зад него не стоят реални хора.

Използвани са и фалшиви домейни, които са имитирали легитимни сайтове с висока посещаемост и качествено съдържание (например онлайн медии). Рекламодателите са склонни да плащат повече, за да се появяват рекламите им в такива сайтове.

Измама за милиони

Реално обаче рекламите им са се появявали във фалшиви сайтове и мобилни приложения, трафикът към които се генерира отчасти или изцяло от ботове.

Според US-CERT мрежата е успяла да обхване над 1.7 млн. IP адреса. Google и White Ops твърдят, че във всеки един момент в мрежата е имало около 700 хил. активни заразени устройства.

Прокуратута в Ню Йорк посочва, че схемата е оперирала като две големи рекламни мрежи. Първата е генерирала 7 млн. долара постъпления от измамени рекламодатели. Втората рекламна мрежа е генерирала над 29 млн. долара.

Връзка с България

Заподозрени за организирането на измамата са 8 граждани на Русия, Украйна и Казахстан. Един от заподозрените, които вече са арестувани, е руският гражданин Александър Жуков.  Той беше арестуван във Варна в средата на ноември по обвинение, че заедно с негови съучастници е измамил рекламодатели с помощта на сложна техническа инфраструктура.

„Чрез нея са били имитирани реални потребители на интернет, разглеждащи истински уебсайтове. По този начин те са привличали рекламодателите да извършват плащания, за да показват онлайн рекламите си. Всъщност рекламите никога не са били показвани на истински потребители на интернет“, съобщи Окръжен съд- Варна. Според съда Жуков живее в България от 8 години, има българска лична карта и собствено жилище във Варна.

Последен ъпдейт на 12 ноември 2018 в 11:10 ч.

Поне 100 хил. рутери са част от бот мрежа, която използва петгодишна уязвимост в утройства с чип на BroadCom. Анализатори на 360Netlab, които са открили бот мрежата, твърдят, че тя може да засегне около 400 хил. уязвими устройства, включително и такива в България.

Активността на бот мрежата е засечена за пръв път през септември, но е продължила и през октомври. Тя е кръстена BCMUPnP_Hunter – от името на протокола UPnP. Анализът на 360Netlab показва, че в мрежата участват около 100 хил. инфектирани устройства, но броят на уязвимите рутери е в пъти по-голям.

Уязвимите устройства са с банер Server: Custom/1.0 UPnP/1.0 Proc/Ver. Справка в Shodan показва, че към момента по света има над 405 хил. такива устройства. Локализирана справка само за България връща като резултат над 60 уязвими устройства.

Бот мрежата експлоатира уязвимост в протокола UPnP (Universal Plug and Play) в чиповете на BroadCom, които се използват от редица производители на рутери. Уязвимостта е била открита през 2013 г. от компанията за информационна сигурност DefenseCode, но за нея беше съобщено едва през 2017 г., тъй като засяга огромно количество рутери – поне 15 млн. устройства. Тогава от DefenseCode изказаха предположението, че голяма част от тези рутери все още са уязвими, защото фърмуеърът им не е обновен.

Според 360Netlab до момента са инфектирани над 100 различни вида рутери на популярни производители като Asus, D-link, Zyxel, Netgear и други. Веднъж инфектирани, те се превръщат в една голяма прокси мрежа. „Злонамерено лице може да изгради прокси мрежа и да я използва, за да изпраща спам, да генерира кликове и т.н.“, коментират от компанията.

Ако мислите, че рутерът ви може да е инфектиран (списък на заразените модели има в блога на 360Netlab), универсалното решение е да обновите фърмуеъра на устройството.