Исследователи обнаружили масштабную спам-инфраструктуру, способную отправлять более миллиарда сообщений в день. Эксперты заявили, что вскрыть целую спам-империю, «являющуюся серьезной угрозой для безопасности и приватности», помогла плохо сконфигурированная система удаленного резервного копирования.

Анализ бэкапа выявил данные, принадлежащие американской компании River City Media. Последовавшее за этим совместное расследование MacKeeper Security Research Center и НКО Spamhaus раскрыло некоторые подробности того, как компания и сеть аффилированных с ней предприятий организовывали массовые спам-кампании с использованием нелегальных техник.

«У нас было ощущение, что данная компания занимается рассылкой спама. Но мы были шокированы масштабами операций и количеством игроков, вовлеченных в незаконную деятельность», — заявил Крис Викери (Chris Vickery), ИБ-исследователь из MacKeeper.

Самым тревожным открытием в ходе исследования стала база рассылки на 1,4 млрд контактов, включающих реальные имена, email-адреса и IP-адреса. «Обычно, чтобы получить настолько детальную информацию о чьем-либо электронном адресе, даже полиции требуются особые разрешения, — сказал Викери. — Но исследуемая компания использовала все возможные и невозможные способы, чтобы собрать качественную базу».

По словам экспертов, в большинстве случаев получателей спама обманным путем заставляли подписываться на различные спам-рассылки. «Более осведомленные пользователи не склонны подписываться на массовые рекламные рассылки столько раз, — пишет MacKeeper в своем блоге. — Наиболее вероятный в этом случае сценарий — комбинация нескольких техник. Одна из них называется «совместная регистрация». Когда вы нажимаете кнопку «Отправить» или «Согласен» рядом с мелким текстом на сайте, вы можете по незнанию согласиться предоставлять свои данные аффилированным с этим сайтом ресурсам».

Также, как выяснили исследователи, River City Media использовала скрипты, эксплуатирующие уязвимости в мейл-серверах Hotmail и Gmail.

Одна из спорных техник скриптинга, используемая в спам-кампаниях, называется warm-up («разогрев»). Эта техника использует десятки тысяч email-аккаунтов на Gmail, AOL, Hotmail и Yahoo, зарегистрированных River City Media. Компания использует «разогревающие» аккаунты для рассылки спама из одного из 100 тыс. подконтрольных доменов. Тестовые сообщения призваны проверить, что домены и IP-адреса не были заблокированы, а почта, рассылаемая из этих доменов, не определяется как спам.

Исследователи также выявили, что компания занималась «нелегальным взломом, о чем свидетельствуют скрипты и логи, ассоциируемые с многочисленными попытками зондирования и эксплуатации уязвимых мейл-серверов».

Одно из подобных доказательств — чат, в котором сотрудники River City Media подтверждают попытки эксплуатации одного из email-серверов Google.

«Не мне решать, что законно, а что нет, — сказал Викери. — Но есть множество переписок, где участники кампаний обсуждают использование нелегальных скриптов, попытки атак на мейл-сервера и другие действия в отношении мейл-серверов, которые можно считать противозаконными».

По словам представителей Spamhaus, результатом этого расследования должна стать блокировка всех IP-адресов и других элементов инфраструктуры, замешанных в рассылке спама.

Резервные копии спам-оператора раскрыли всё — от чатов Hipchat и сведений о регистрации домена до бухгалтерских сведений, записей об устройстве инфраструктуры, скриптов и бизнес-партнерств. По словам Викери, компания не была взломана, скорее она пострадала от утечки данных, в которой виновата сама.

Исследователи подтвердили связь River City Media с более чем 20 бизнес-партнерами, использующими 30 общих электронных адресов. На уровне River City Media за столь масштабные кампании отвечали не более 12 человек.

В открытом доступе оказались резервные копии компании с декабря 2016-го по январь 2017 года. «С октября 2016 года по январь 2017-го River City Media заработала $937 451,21 на кампаниях, проведенных рядом аффилированных сетей, включая AdDemand, W4, AD1 Media (Flex) и Union Square Media. Логи спам-кампаний показывают, что отношения с некоторыми партнерскими компаниями ведут свою историю с июля 2015 года», — пишут на CSOOnline.

В рамках расследования эксперты уведомили правоохранительные органы о своей находке. На момент написания статьи представители River City Media не ответили на запрос комментария.

Категории: Главное, Мошенничество, Спам