Архив новостей

Ботмастер, как тебя зовут?

Известный журналист Брайан Кребс попытался выяснить реальные имена ботоводов Cutwail и Srizbi, причастных к рассылке спама в рамках партнерской программы SpamIt.

Cutwail, он же Pushdo, на протяжении ряда лет слыл одним из крупнейших ботнетов, распространявших нелегитимную рекламу и вредоносные сообщения. Согласно статистике M86 Security, в настоящее время совокупный вклад разных версий Cutwail в спам-трафик не превышает 20%. По свидетельству Кребса, создателем столь прилежного генератора спама является некий знаток UNIX и специалист по информационной безопасности, скромно именующий себя «Google». Сотрудничать со SpamIt он начал в начале 2007 года, а до этого несколько лет занимался усовершенствованием своего ботнета, сдавая его в аренду спамерам по частям. Партнерство с владельцем Cutwail оказалось для SpamIt весьма выгодным предприятием: Google держал с десяток учетных записей и быстро превратился в главного добытчика, получая щедрые комиссионные за рассылку фармаспама и рекламы пиратского ПО.

Тесную взаимосвязь ботовода Cutwail и SpamIt подтверждают логи чат-бесед «Google» и администратора одиозной партнерки Дмитрия Ступина, обнаруженные при аресте последнего в связи с делом Гусева. Уголовное дело против Игоря Гусева, создателя и владельца SpamIt, было возбуждено осенью 2010 года, когда его детище уже прекратило свое существование.

В поисках реального имени владельца Cutwail Кребс обратился к записям WhoIs и WebMoney ― платежной системы, через которую SpamIt расплачивалась с партнерами. Сопоставление контактной информации, найденной в этих базах, позволило ему с некоторой долей уверенности определить, что в миру «Google» известен как Нечволод Дмитрий Сергеевич, обитатель московских Черемушек.

Серьезную конкуренцию Cutwail на ниве фармаспама одно время составлял ботнет Srizbi. Он появился на спам-арене весной 2007 года; зловред, взятый за основу ботоводом, был опознан экспертами как новая версия Reactor Mailer. Как оказалось, оператором данной программы является глава некоей компании Elphisoft, именующий себя SPM. По словам самого ботовода, доводкой Reactor Mailer занимались лучшие программисты СНГ. SPM тоже сдавал свой ботнет в аренду по частям и примкнул к SpamIt в 2007 году. Долгое время он выторговывал себе привилегии главного поставщика спамботов для новой клиентуры, мечтая когда-нибудь узреть свой логотип рядом с баннером SpamIt. В итоге администрация партнерки пошла на уступки амбициозному ботоводу, но вынуждена была отказаться от его услуг, когда Srizbi потерял центры управления при ликвидации веб-хостинга McColo.

Как показало расследование Кребса, SPM ― не кто иной, как владелец ООО «Геймпром» Филипп Погосов. Эта компания была основана в 2004 году и до сих пор с успехом занимается разработкой и продажей видеоигр для мобильных устройств. Погосов уже несколько лет живет в Таиланде. Потеряв ботнет, он целый год не общался с представителями SpamIt. В начале 2010 года SPM попытался восстановить связь со Ступиным, предложив ему использовать для рассылки фармаспама российские SMS-каналы. К счастью, этот замысел канул в Лету вместе с одиозной партнеркой.

Ботмастер, как тебя зовут?

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Техники, тактики и процедуры атак на промышленные компании

В 2022 году мы расследовали серию атак на промышленные компании в Восточной Европе. В ходе кампаний атакующие стремились организовать постоянно действующий канал для вывода украденных данных, включая данные, размещенные на физически изолированных (air-gapped) системах.

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике