Маршал ботнетов Жуков идёт на суд присяжных в США. Комментирует адвокат Игорь Литвак

Как создать ботнет и зарабатывать на нем миллионы? Мы знаем. Но вам не расскажем. Потому, что это не законно. У любой верёвочки есть конец. А всё тайное всегда становится явным. Когда золотые времена кардеров подходили к своему концу, безопасность финансовых учреждений работала над ошибками и усиливала защиту, а большинство кардеров уже были за решеткой, подрастающее поколение киберпреступников понимало, что этому миру необходимо что-то новое. Новая схема, которая будет не похожа на все предыдущие…

Но технологии мошенников не стоят на месте и постоянно совершенствуются. И вот осенью 2018 прокуратура Восточного округа Нью-Йорка заочно предъявила обвинение восьми подозреваемым в кибермошенничестве. 33-страничное обвинительное заключение поступило в суд Бруклина. Группировке инкриминируют мошенничество, несанкционированное проникновение в компьютеры, кражу персональных данных при отягчающих обстоятельствах и отмывание денег – всего в документе 13 пунктов. Из заявления прокуратуры следует, что группировка создала два ботнета – Methbot и 3ve2, чтобы зарабатывать деньги на обмане рекламодателей в интернете.

Среди обвиняемых граждане Казахстана Сергей Овсянников и Евгений Тимченко и россиянин Александр Жуков, которых арестуют в Малайзии, Эстонии и Болгарии соответственно. А вскоре они окажутся в США.

Что такое Methbot

Миллиарды сгенерированных просмотров и заработок в 7 млн долларов. Жертвами стали сотни брендов и рекламных агентств по всему миру, в том числе и в США, утверждается в обвинительном заключении. А начиналось всё в России, куда расследование и привело секретную службу США.

Мошенническая схема, на которой операторы ботнета зарабатывали миллионы долларов, выглядит следующим образом. Вначале Methbot выбирает домен или URL из списка премиум-публикаторов. Затем создается фальшивая страница, которая содержит элементы, необходимые для генерации рекламы и запросов видеорекламы из рекламных сетей, для которых используется фейковый URL, имитирующий реальный URL публикатора. Реклама загружается в симуляцию браузера через прокси, пройдя ряд механизмов, имитирующих человеческую деятельность. В итоге анти-фрод системы уверены, что имеют дело с живыми людьми, а не с армией ботов. По данным исследователей White Ops, злоумышленники подделали таким образом более 6000 доменов, в том числе принадлежащих крупным компаниями, например, Vogue, The Economist, ESPN, Fortune, Fox News, Huffington Post и International Business Times.

Если ваши действия могут выглядеть как действия миллионов людей, что бы сделали вы?

Ботнеты можно использовать для совершения различных действий, некоторые из которых являются более опасными, чем другие, но основным мотиватором всегда являются деньги. Боты могут нажимать на рекламу (скликивать), слушать музыку, чтобы увеличивать гонорары, генерировать фальшивые лайки в социальных сетях, увеличивать загрузки в магазинах приложений или создавать фальшивые отзывы. Они могут совершать распределенные DdoS-атаки (DdoS расшифровывается, как Distributed Denial of service или отказ в обслуживании) в результате которых атакуемые сервера перегружаются трафиком и замедляется или вообще перестают работать.

В случае Александра Жукова, директора международной рекламной компании, имеющего большой опыт работы с международными рекламными агентствами, его интересовали только деньги. Большие деньги. Именно Жуков, по мнению следствия США, был идеологом и координатором создания ботнета. В интернете он познакомился с Борисом Тимохиным и Михаилом Андреевым, которые, основываясь на опыте Жукова и под его руководством создали ботнет нацеленный на дорогую рекламу. Предполагается, что ценник варьировался от 5 до более чем 35 долларов при средней цене за тысячу показов около 15 долларов. Ежедневно генерировалось около 300 миллионов показов видеорекламы, поэтому легко понять, насколько прибыльным мог быть сей ботнет.

Для работы ботнета использовалось более чем 250,000 URL-адресов, выглядевших так, как будто они находятся в рекламной сети. В схеме использовалось более 1000 выделенных серверов. Даже если IP-адреса были бы известны, использование новых URL-адресов, новых серверов или новых IP-адресов не было бы чрезвычайно трудоемким. Это была новая система с беспрецедентным уровнем охвата. Конечно, до этого были и другие подобные сетевые атаки, но ничего столь масштабного, как Methbot мир ещё не видел. В то время как большинство других атак полагались в основном на вредоносное ПО, чтобы «заразить» другие компьютеры для выполнения их приказов, Жуков с подельниками сами создали первую в мире «ферму ботов», единственной целью которой является обслуживание видеоконтента и одновременный просмотр его. Methbot использовал движок браузера для взаимодействия с видео-рекламным контентом в огромной сети поддельных IP-адресов. Этот метод позволил операторам Methbot практически бесконтрольно масштабировать операции.

Новая система была специально разработана, чтобы её действия выглядели как действия человека, манипулируя геолокацией и IP.

У рекламодателей складывалось ощущение, что их товары и услуги видят миллионы пользователей именно из тех локаций, которые им нужны больше всего. Система имитировала не только заход на нужный сайт, но и движение курсора мыши по странице, её прокрутку, включение и выключение видеоролика. Естественно, на самом деле никаких заинтересованных клиентов не существовало.

Умопомрачительная схема Жукова

Судя по обвинительному заключению, американские правоохранительные органы получили доступ к переписке, имена пользователей в которой совпадают с именами обвиняемых.

Так, в октябре 2014 Новиков просил Тимохина выяснить, “как сделать движения курсора и скролл более реалистичным”, то есть похожим на действия человека. Тогда же он говорил, что бот должен смотреть видео по 60-90 секунд. В августе 2015 года Жуков объявил коллегам по ботнету, что “ищет возможности *******” американские компании, специализирующиеся на кибербезопасности. Он же хвастался Тимохину тем, что придуманная им схема “умопомрачительна”.

Группировка управляла ботнетом с сентября 2014-го по декабрь 2016, пока его не обнаружили специалисты по информационной безопасности из компании White Ops, считает следствие. Когда схему вскрыли, её участники попытались уничтожить улики – стерли переписку на онлайн-платформе и удалили тысячи электронных писем со своих ящиков.

Суд Бруклина выдал ФБР ордер на то, чтобы взять под контроль 31 домен, которые могли быть связаны с этой группой. Также ФБР получила ордер на снятие необходимой информации с 89 серверов, которые были частью ботнетов. Работая с партнерами в частном секторе, правоохранители смогли полностью остановить два ботнета Methbot и 3ve2.

Арест, суд и комментарии адвоката

Известный адвокат хакеров Игорь Литвак работал над кейсом Александра Жукова и вёл его защиту на некоторых этапах дела. Игорь знает подробности, но не может нам рассказать всех секретов. Но с удовольствием дал комментарии по этому громкому делу в преддверии суда присяжных, на который вскоре отправится Александр Жуков.

CyberSec: Игорь, вы некоторое время работали над кейсом Жукова. Как вы считаете, почему он пошел на суд присяжных?

Игорь Литвак: ответить точно на этот вопрос вам сможет только сам Александр Жуков. Возможно, он считает себя невиновным, возможно у него есть иные личные причины, по которым он принял решение идти на суд присяжных. Но самый главный вопрос сейчас это не тот почему он туда пошел, а чем все это для него закончится. Ему сейчас грозит около двадцати лет.

CS: Какие шансы у Жукова и насколько сильные доказательства имеются у обвинителя?

Игорь Литвак: Все улики будут представлены на суде. И мы это все увидим, поэтому сейчас заранее очень трудно предсказать исход.

CS: Существуют ли «лазейки» в американском законодательстве, позволяющие оператором ботнетов снизить риски нарушения закона?

Игорь Литвак: Я, конечно, не претендую на звание IT эксперта. Я, в первую очередь, юрист, который работает в сфере киберпреступлений. Но это тоже не является моей единственной деятельностью. Я веду дела, связанные с убийствами, наркотиками и прочими противозаконными действиями. И моя практика обширна. Поэтому я сейчас говорю в первую очередь, как юрист, а не как программист или кодер. И отвечая на ваш вопрос могу сказать, что найти лазейку практически невозможно, единственное, за что можно зацепиться – это предназначение ботнета. Ведь существуют такие ботнеты, которые направлены не на криминал. Они созданы с целью получения исследований, анализа или изучений. В этом случае я могу представить какие-то варианты. Но в любом случае, вы должны понимать, что каждое дело уникально. И говорить так однозначно я бы не стал.

CS: Когда именно ботнет становится интересным для властей США? После обращения потерпевших? После обнаружения самого бота? Или власти США просто расследуют всё подряд?

Игорь Литвак: Ботнетов много. И конечно же здесь всё зависит от масштабов. Нет никакой определенной цифры, например нельзя сказать, что ботнет начинают интересовать власти, как только он перевалит за определенное количество ботов. Есть разные показатели, и если раньше внимание было направлено на крупных игроков, то сейчас их почистили и фокус сместился уже на средних и мелких. Я видел кейсы с миллионными ущербами и кейсы с меньшими потерями. И если вернуться к кейсу Жукова и его подельников, то по версии прокуратуры они были первыми, кто создал такой бот, как Methbot. Ботнеты были и раньше. Но по версии прокуратуры Methbot отличался от всех существовавших ранее. Сами по себе ботнеты давно не являются новинкой. Если вы помните, у меня был подзащитный Петя Левашов. И его тоже обвинили в создании ботнета, правда там речь шла о более традиционном варианте. Поэтому я буду пристально следить за судом Жукова. Хоть он сейчас и не является моим клиентом, я ему сочувствую и мне очень интересен исход этого дела. Суд начнётся уже сегодня. После суда я с удовольствием дам свои комментарии и отвечу на все возникшие вопросы. А пока мы можем только пожелать Александру удачи.