Исследование

Планета, захваченная спамерами

В настоящее время в мире не осталось практически ни одной страны, из которой не распространялся бы спам. Многие годы идет борьба спамеров за территории, с которых они осуществляют спам-рассылки. Спамеры пытаются удержать старые и захватывают новые земли, а правоохранительные органы, антиспам-вендоры и различные инициативные группы пытаются им помешать. О том, какие факторы влияют на миграцию источников спама, об изменениях в распределении источников спама по странам и тенденциях этой миграции мы расскажем в этой статье.

2003 – 2009. Хроника

В истории спам-индустрии можно выделить определенные периоды, когда активные действия антиспамовых компаний, законодательных и правоохранительных органов в разных странах вынуждали спамеров активно искать новые способы рассылки, методы обхода спам-фильтров и новые плацдармы для рассылки спама.

2003 год. Многие Европейские страны принимают антиспамовые законы. Это стало следствием Директивы 2002/58/EC Европейского парламента и Совета от 12 июля 2002 года, касающейся обработки персональных данных и охраны тайны частной жизни в секторе электронных коммуникаций. Директива призвана защищать личные данные и частную жизнь в электронной сфере. В том числе в ней говорится о недопустимости незапрошенных коммерческих рассылок. В этом же году законы против спама приняты в США и Австралии. Последний и по сей день считается одним из самых эффективных.

Несмотря на принятые законодательные меры, доля спама в почтовом трафике продолжает расти. В 2004 году она увеличивается на 14% по сравнению с 2003 годом и составляет 80% почтового трафика. На этом уровне она остается до 2006 года включительно. Для борьбы со спамом на всех крупных почтовых сервисах устанавливаются антиспамовые фильтры. К антиспам-защите прибегает и большинство провайдеров. Большая часть антивирусных вендоров встраивает в свои продукты антиспамовые движки.

США, невзирая на принятый закон, с большим отрывом лидируют среди стран — источников спама. По некоторым оценкам, в 2004 году около половины «мусорной» почты рассылается из этой страны.

2006 год. Начинается вторая волна законодательных инициатив в области защиты от спама. В 2006-2007 гг. соответствующие законы принимают Китай, Пакистан, Сингапур, Новая Зеландия, вносит поправки в ФЗ «О Рекламе» Россия. Кроме того, со спамом начинают активно бороться на технологическом уровне, и спамеры вынуждены совершенствовать свои технологии для рассылки спама и обхода спам-фильтров. Именно в 2006 году происходит окончательная дискредитация и фактическое упразднение открытых релеев, через которые спамеры рассылали свои письма, и переход рассыльщиков спама на зомби-сети. Тогда же спам становится существенно более разнообразным в техническом отношении: появляется зашумленный графический спам, начинают использоваться различные возможности языка HTML для обхода фильтров.

Все больше спамовых писем распространяется из России и Китая. В Рунете лидерство в рассылке спама принадлежит России (22%), 20% спамовых писем рассылаются из США, 11% — из Китая. В западноевропейском и американском секторе по-прежнему лидируют США, Россия и Китай входят в TOP 3. Среди лидеров много стран Западной Европы.

30 марта 2006 года Китай принимает антиспамовый закон «Regulations on Internet E-Mail Services», и, начиная с 2007 года, спама из этой страны становится значительно меньше.

2007 год. США возглавляют рейтинг стран источников спама (11,2% мирового спама), за ними с небольшим отрывом следует Россия (10,8%). Третье место занимает Польша, единственная страна Восточной Европы, вошедшая в TOP 20. В TOP 10 впервые появляется Индия, которая в 2011 году станет лидером среди стран-спамеров. Китай по итогам 2007 года занимает лишь 9-е место. Кроме того, во вторую десятку рейтинга вошли 5 стран Латинской Америки.

2007 год — начало эпохи географических открытий для организаторов ботсетей. Потерпев поражение в Китае, где стала проводиться политика жесткого регулирования в Сети, они переключаются на менее защищенные страны Азии, Ближнего Востока и Латинской Америки. Помимо отсутствия законодательной базы, эти регионы характеризуются низкой компьютерной грамотностью пользователей и отсутствием должного антивирусного программного обеспечения, что позволяет злоумышленникам легко получать доступ к компьютерам пользователей.

2008 год. В рейтинге стран-спамеров США и Россия меняются местами: Россия отвечает за 22% мирового спама, США — за 16%. Остальные страны идут с большим отрывом. В TOP 10 появляется еще одна восточноевропейская страна — Украина.

2009 год. Во второй половине года существенно увеличивается количество спамовых писем, рассылаемых из США: их доля в мировом потоке спама достигает 24,4%. Отметим, что этот рост наблюдается одновременно с увеличением числа зараженных американских доменов. Это говорит о повышенном внимании вирусописателей к США и, возможно, о сложных атаках, направленных одновременно на заражение доменов и включение компьютеров пользователей в ботсети (например, атаки с использованием бэкдора Bredolab). В среднем, в 2009-м году на долю США пришлось 16% всего разосланного спама. Доля России среди стран — источников спама, напротив, постепенно уменьшается (в среднем за год она составила всего 8,5% мирового спам-трафика). За ней следуют Бразилия (7,6%), Индия (5,9%) и Корея (4,8%). Организаторы ботнетов укрепляют свои позиции в развивающихся странах: в TOP 10 не вошло ни одной западноевропейской страны.

2010. Закрытие ботнетов и партнерских программ

До 2010 года среди стран — источников спама лидировали США и Россия — страны с весьма развитым спам-бизнесом. В разные годы эти две страны в сумме были ответственны за 22-42% всего мирового спама. В 2010-м году ситуация изменилась.

2010 год можно назвать годом борьбы с зомби-сетями. Командные центры ботнетов закрывали и раньше (вспомним хотя бы закрытие в конце 2008 года хостинг-провайдера McColo, на котором располагались командные центры сразу нескольких зомби-сетей), но никогда борьба с ботсетями не была столь массовой и не приносила столь долговременных результатов. Кроме того, в 2010 году было возбуждено сразу несколько громких дел против спамеров и организаторов ботсетей. Приятно отметить, что подобные инициативы продолжаются: в марте 2011 были закрыты командные центры ботнета Rustock.

Не в последнюю очередь благодаря упомянутой выше борьбе с зомби-сетями, в 2010 году произошло существенное перераспределение источников спама. На графике, отображающем распределение источников спама по регионам в 2010 году, можно видеть, как ситуация менялась в течение года.


Долевые показатели регионов в рассылке спама, 2010 год

Отметим увеличение показателей Восточной Европы в марте и октябре и Латинской Америки в июне, а также уменьшение доли США и Канады, начавшееся в сентябре.

Значительное сокращение доли США в рассылке спама произошло главным образом благодаря закрытию командных центров ботнета Pushdo/Cutwail. Помимо этого закрылась фармацевтическая партнерская программа SpamIt, что также могло повлиять на количество рассылаемого из США спама.

Новые «плантации» для рассылки спама злоумышленники стали организовывать уже на других, более удобных, территориях: в октябре значительно увеличилась доля спама, рассылаемого из России, Украины и других восточноевропейских стран, в ноябре увеличилась доля Вьетнама, Индии и Индонезии. В целом, можно отметить, что в 2010 году в рассылке спама были задействованы практически все регионы мира: впервые значимая часть (1,64%) нежелательной почты рассылалась из Африки, которая до этого практически не участвовала в этом процессе.

Проследить за тем, где спамеры готовят новый плацдарм для рассылки спама, нам помогает статистика вредоносных вложений в почте. Как правило, для того чтобы организовать ботнет, пользователям в какой-либо стране рассылают вредоносные письма и заражают их машины ботами, нацеленными на рассылку спама. В период с октября по декабрь 2010-го года количество срабатываний нашего почтового антивируса в США и Западной Европе существенно сократилось, а в Восточной Европе и Азии, напротив, увеличилось.


Процент срабатывания почтового антивируса, приходящийся
на некоторые страны из TOP 10, октябрь – декабрь 2010

2011. Стабилизация

В отличие от 2010 года, в 2011 году доля спама, рассылаемого из различных регионов, перестала «скакать» от месяца к месяцу. Первое полугодие 2011 в целом можно охарактеризовать как стабильное.


Долевые показатели регионов в рассылке спама, первое полугодие 2011 года

Отметим очевидные тренды: вклад Азии и Латинской Америки в мировые потоки спама в первом полугодии 2011 г. плавно увеличивается (причем, кривые этих регионов очень похожи), а доли Восточной и Западной Европы уменьшаются. Как мы уже говорили, Азия и Латинская Америка — это регионы, по разным причинам удобные для спамеров, и количество зараженных компьютеров, рассылающих из этих регионов спам, растет.

В 2011 году из рейтинга стран — источников спама исчезли абсолютные лидеры: ушла в прошлое ситуация, когда три страны были бы ответственны за половину всего мирового спама. Напротив, распределение источников стало довольно равномерным — зомби-сети, с которых рассылаются спамовые письма, охватывают весь земной шар.


Распределение источников спама по странам, первое полугодие 2011

Такое распределение говорит о завершении географической экспансии спамеров. Зараженные компьютеры, рассылающие спам, в настоящее время есть и в Южной Африке, и на отдаленных островах посреди Тихого океана. Развитые страны привлекают организаторов ботнетов своим доступным и быстрым интернетом, развивающиеся — отсутствием антиспамовых законов и слабой защищенностью компьютеров. Территорий, не интересных «ботоводам», просто не осталось.

Кроме того, после активной борьбы с крупными ботсетями в 2010 году, ботоводы стараются делать свои ботнеты не столь крупными, как раньше, чтобы иметь возможность маневра в случае атак со стороны правоохранительных органов. Одновременно увеличивается количество таких небольших ботнетов. Такая политика рассредоточения спамерских мощностей также ведет к более равномерному распределению зараженных компьютеров по странам.

Причины миграции источников спама

Итак, из всего сказанного можно выделить несколько основных причин перераспределения географических источников спама.

  1. Развитие законодательства
    Пример Китая наглядно показывает зависимость количества рассылаемого спама от наличия в стране эффективных законов против спама. После появления в Китае антиспамового закона количество спама, рассылаемого из Китая, резко сократилось и в настоящее время не превышает 1% мирового спама. Кроме того, после ужесточения в Китае правил регистрации доменов в конце 2009 года (теперь домен можно регистрировать только на юридическое лицо), количество вредоносных и спамерских сайтов в данной доменной зоне тоже резко уменьшилось. Конечно, роль играет не только наличие закона, но и средства его реализации. Видимо в Китае, с его жесткой интернет-политикой, такие средства имеются.Кроме того, очень показателен пример Австралии. Вернемся к графику источников спама: можно заметить, что наименьшая доля всего распространяемого спама приходится на регион «Австралия и Океания». И это несмотря на то, что Австралия — большая страна с развитым интернетом. А дело в том, что еще в 2003 году Австралия приняла один из самых жестких законов против спама (Spam Act 2003) и следит за его исполнением. Так, правительство обязует интернет-провайдеров выявлять зомби-компьютеры в сетях и помогать пользователям лечить инфицированные машины. Кроме того, для пользователей создан удобный инструмент для отправления жалоб на спам: достаточно нажать одну кнопку, чтобы образец нежелательного письма попал в государственные органы, в задачу которых входит борьба со спамерами.
  2. Географическая экспансия
    С бурным распространением интернета по всему миру увеличивается и число стран, участвующих в распространении спама. Так, в течение последних 5 лет мы наблюдали, как источниками спама становятся страны Латинской Америки, Азии, Ближнего Востока и Африки. На настоящий момент географическая экспансия спамеров практически закончилась.
  3. Закрытие ботнетов
    Закрытие ботнетов практически сразу сказывается и на количестве спама, и на распределении его источников. Хотя в одну зомби-сеть могут входить компьютеры со всего мира, как правило, большая их часть все же принадлежит одному региону. Поэтому с закрытием командных центров ботнета доля спама из региона, где расположена основная часть зараженных компьютеров, входящих в зомби-сеть, заметно снижается.
  4. Закрытие партнерских программ
    Это довольно редкий случай, и связан он в большой степени с работой правоохранительных органов. Самый показательный пример — закрытие фармацевтической партнерской программы «SpamIt» в октябре 2010 года, которое повлияло как на тематики спама, так и на его географию.

Заключение и прогнозы

Известно, что львиная доля спама в настоящее время рассылается с помощью ботнетов — сетей зараженных компьютеров, которые получают команды от центров управления ботсетью. Часть спама по-прежнему рассылается с серверов спамеров. Местоположение таких серверов и ботсетей зависит от многих факторов. Это и антиспамовое законодательство различных стран, и активные действия против ботнетов как государственных, так и негосударственных инициативных групп. Кроме того, на выбор спамеров оказывают влияние такие факторы, как защищенность пользователей в той или иной стране, их компьютерная грамотность и частота обновлений программного обеспечения на их машинах.

Как показывает статистика, источники спама распределяются по земному шару все более равномерно. Это объяснимо: с течением времени уравнивается количество компьютеров на душу населения в разных странах, повышается и качество каналов связи. Конечно, это долгий процесс, который длится десятилетиями, но со временем он приведет к тому, что разные страны станут одинаково привлекательными для организаторов ботсетей.

Пока же среди стран — источников спама будут лидировать преимущественно страны БРИКС и другие быстроразвивающиеся страны, так как в настоящее время по критериям «законодательство / защищенность пользователей / количество пользователей / ширина канала» они наиболее привлекательны для спамеров.

Мы ожидаем, что увеличится (хотя и не достигнет прежнего уровня) и доля спама, распространяемого из США: хороший доступ в интернет и большое количество пользователей привлекает организаторов ботнетов, несмотря на наличие в США антиспамовых законов и хорошую защищенность машин. Отметим, что в мае эта страна заняла второе место по количеству срабатываний почтового антивируса и с тех пор не опускалась по этому показателю ниже четвертого места, что косвенно свидетельствует об организации там ботнетов.

2010 год показал, что со спамом можно эффективно бороться не только путем его фильтрации, но и другими способами — отключая командные центры ботнетов, привлекая к уголовной и административной ответственности самих спамеров. Будем надеяться, что и в дальнейшем борьба со спамом будет носить комплексный характер.

Планета, захваченная спамерами

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике