Случайная утечка вскрыла спам-империю

[SLаVS 0]

Исследователи обнаружили масштабную спам-инфраструктуру, способную отправлять более миллиарда сообщений в день. Эксперты заявили, что вскрыть целую спам-империю, «являющуюся серьезной угрозой для безопасности и приватности», помогла плохо сконфигурированная система удаленного резервного копирования.



Анализ бэкапа выявил данные, принадлежащие американской компании River City Media. Последовавшее за этим расследование, организованное центрами исследования безопасности MacKeeper Security Research Center и The Spamhaus Project, раскрыло некоторые подробности того, как компания и сеть аффилированных с ней предприятий организовывали массовые спам-кампании с использованием нелегальных техник.



«У нас было ощущение, что данная компания занимается рассылкой спама. Но мы были шокированы масштабами операций и количеством игроков, вовлеченных в незаконную деятельность», — заявил Крис Викери (Chris Vickery), ИБ-исследователь в MacKeeper.



Самым тревожным открытием исследователей стала база рассылки, состоящая из 1,4 млрд контактов, включающих реальные имена, email-адреса и IP-адреса. «Обычно, чтобы получить настолько детальную информацию о чьем-либо электронном адресе, даже полиции требуются особые разрешения, — сказал Викери. — Но исследуемая компания использовала все возможные и невозможные способы, чтобы собрать качественную базу».



По словам экспертов, в большинстве случаев получателей спама обманным путем заставляли подписываться на различные спам-рассылки. «Более осведомленные пользователи не склонны подписываться на массовые рекламные рассылки столько раз, — пишет MacKeeper в своем блоге. — Наиболее вероятный в этом случае сценарий — комбинация нескольких техник. Одна из них называется «совместная регистрация». Когда вы нажимаете кнопку «Отправить» или «Согласен» рядом с мелким текстом на сайте, вы можете по незнанию согласиться предоставлять свои данные аффилированным с этим сайтом ресурсам».



Также, как выяснили исследователи, River City Media использовала скрипты, эксплуатирующие уязвимости в мейл-серверах Hotmail и Gmail.



Одна из спорных техник скриптинга, используемая в спам-кампаниях, называется «разогрев». Эта техника использует десятки тысяч email-аккаунтов на Gmail, AOL, Hotmail и Yahoo, зарегистрированных River City Media. Компания использует «разогревающие» аккаунты для рассылки спама с одного из 100 тыс. подконтрольных доменов. Тестовые сообщения призваны проверить, что домены и IP-адреса не были заблокированы, а почта, рассылаемая с этих доменов, не определяется как спам.



Исследователи также выявили, что компания занималась «нелегальным взломом, о чем свидетельствуют скрипты и логи, ассоциируемые с многочисленными попытками зондирования и эксплуатации уязвимых мейл-серверов».



Одно из подобных доказательств — чат, в котором сотрудники River City Media подтверждают попытки эксплуатации одного из email-серверов Google.



«Не мне решать, что законно, а что нет, — сказал Викери. — Но есть множество переписок, где участники кампаний обсуждают использование нелегальных скриптов, попытки атак на мейл-сервера и другие действия в отношении мейл-серверов, которые можно считать противозаконными».



По словам представителей Spamhaus, результатом этого расследования должна стать блокировка всех IP-адресов и других элементов инфраструктуры, замешанных в рассылке спама.



Резервные копии спам-оператора раскрыли все — от чатов Hipchat и сведений о регистрации домена до бухгалтерских сведений, записей об устройстве инфраструктуры, скриптов и бизнес-партнерств. По словам Викери, компания не была взломана — скорее она пострадала от утечки данных, в которой виновата сама.



Исследователи подтвердили связь River City Media более чем с 20 бизнес-партнерами, использующими 30 общих электронных адресов. На уровне River City Media за столь масштабные кампании отвечали не более 12 человек.



В открытом доступе оказались резервные копии компании с декабря 2016-го по январь 2017 года. «С октября 2016 года по январь 2017-го River City Media заработала $937 451,21 на кампаниях, проведенных с рядом аффилированных сетей, включая AdDemand, W4, AD1 Media (Flex) и Union Square Media. Логи спам-кампаний показывают, что отношения с некоторыми партнерскими компаниями ведут свою историю с июля 2015 года», — пишут в CSOOnline.



В рамках расследования эксперты уведомили правоохранительные органы о своей находке. На момент написания статьи представители River City Media не ответили на запрос комментария.