Выступая на конференции Virus Bulletin, проходящей в Мадриде, Дхиа Махджуб (Dhia Mahjoub) из подразделения Cisco Umbrella и Джейсон Пассуотерс (Jason Passwaters) из Intel 471 представили новые доказательства того, что «пуленепробиваемый» хостинг (bulletproof hosting, BPH) предлагается на черном рынке как сервис и в наши дни. С материалами доклада ознакомился репортер The Register.

Одним из ведущих игроков на рынке BPH-услуг в свое время являлась коммерческая организация Russian Business Network (RBN), изначально базировавшаяся в Санкт-Петербурге. Она позиционировала себя как легальный бизнес и действительно принимала заказы на хостинг от законопослушных компаний. Однако практика показала, что большинство ее клиентов составляли криминальные элементы: держатели спамерских «партнерок», фишеры, распространители вредоносного ПО, операторы онлайн-казино и порносайтов. По имеющимся данным, услугами RBN пользовалась также мощная фишерская группировка Rock Phish.

Российский хостинг-провайдер располагал богатой инфраструктурой, умело использовал BGP, пиры, маршрутизаторы и прокси и мог предложить разборчивой клиентуре достаточную степень анонимности и сокрытия от обнаружения. По данным исследователя Давида Бизёля (David Bizeul), к ноябрю 2007 года интернет-пространство RBN охватывало 406 IP-адресов и 2090 доменных имен. Примерно к тому же времени темная сторона деятельности этой бизнес-структуры стала очевидной; некоторые провайдеры начали блокировать адреса, ассоциированные с сетями RBN, а в прессе стали активно жаловаться на бездействие российских властей.

В итоге к концу 2007 года RBN, по всей видимости, ушла в оффлайн, а ее клиенты начали искать новый хостинг. Какое-то время осколки прежней «империи зла» всплывали, арендуя сервера Китая, Турции, Украины, Америки, а потом одиозное имя и вовсе исчезло с радаров СМИ — но не исследователей. В минувшую среду Махджуб и Пассуотерс представили участникам конференции новые факты, свидетельствующие о добром здравии теневого BPH-бизнеса.

Один из таких веб-сервисов, обнаруженных докладчиками, использует ресурсы легальных провайдеров, в том числе AWS и TenCent. Некто «Александр» (Yalishanda), проживающий в Пекине и ведущий деловые операции из Владивостока, создал сеть из облачных прокси и предлагает клиентам быструю ротацию доменов. За девять дней исследователи насчитали 230 разных провайдеров, задействованных в этой схеме. Примечательно, что в 2008 году бизнес «Александра» попал под правовой запрет.

Другой BPH-провайдер, Борис, предлагает доступ к проксирующей CDN-сети, в которой перерегистрация IP осуществляется на лету и автоматически (ботами) по принципу fast flux. DNS-серверы, используемые этим сервисом, размещены, в основном, на иранских IP-адресах. Махджуб и Пассуотерс проследили противозаконные операции Бориса вплоть до 2010 года; по их данным, этот провайдер осуществляет свою деятельность из Украины и уже пережил три полицейских рейда.

Совокупно исследователи обнаружили в современном Даркнете 15 крупных BPH-провайдеров; большинство из них базируется в России, Украине или Приднестровье. К сожалению, ликвидировать такие теневые структуры непросто: они проводят и легитимные операции. «Не вся их активность наносит вред, — подтвердил Махджуб для The Register. — Некоторые хостинг-услуги вполне законны».

По словам исследователей, представленные на Virus Bulletin результаты стали возможными благодаря эксклюзивному доступу к закрытым форумам. Махджуб и Пассуотерс также провели масштабный анализ сетевого трафика и данных телеметрии.

Категории: Аналитика, Вредоносные программы, Главное, Спам