Архив новостей

Спам цвета хаки

Спамеры вышли из тени, громко заявив о своей мощи многочисленными вирусными эпидемиями, распространяемыми при помощи того же спама . До недавнего времени вполне мирный, хотя и нелегальный бизнес — превратился в полномасштабный кибер-терроризм, порождая все новые волны вирусов, не думая о последствиях, которые грозят некогда беззаботной и свободной стране — Интернету. Спамеры пошли в решительное наступление, совершая провокации против компаний, ведущих борьбу со спамом.

СПАМ — КОНЕЦ ПЕРЕХОДНОГО ВОЗРАСТА

Всего лишь десять лет назад Интернет впервые столкнулся с массовой рассылкой. Кто мог знать тогда, что это явление, вызвавшее лишь всеобщее порицание и недовольство, спустя десять лет превратится в настоящее бедствие, угрозу безопасности компьютерам миллионов пользователей во всем мире, причину убытков для многих компаний, фактором, разрушающим целостность Интернета.

Десять лет в Интернете — срок немалый. Перед нами уже далеко не малыш, «трудный» подросток, рисующий на заборах и выкручивающий лампочки в подъездах. Спам — вполне зрелый противник, точно знающий, чего он хочет и умело использующий самые изощренные средства для достижения своей цели.

Еще год назад сделать спамерскую рассылку мог практически любой желающий. Единственным препятствием мог служить «моральный» барьер, понимание того, что спам — «это плохо». Не требовалось больших финансовых затрат или серьезного знания программного обеспечения — разослать спам можно было при помощи любого почтового клиента или недорогой специальной программы вроде ADR.

Принятые большинством ведущих почтовых сервисов меры по защите пользователей от спама привели к удорожанию накладных расходов в спамерском бизнесе. Планка «вхождения» на спамерский рынок поднялась, «мелочь» остается не у дел, сильнейшие «шайки» — выживают и укрупняются. Закон джунглей суров — но он закон.

СПАМЕРЫ ТОЖЕ ПЛАЧУТ

Цитата с форума спамеров:
[молодой спамер]
Каким методом щас фильтрует почту майл ру ? Вот пример:

Идет отправка текста ( Предлагаем заработать кучю денег ) с IP который чистый! — не сокс! — при проверке письма сервером МайлРу тот говорит, что типа ошибка 550, типа спам идет !

Если даже текст менять чтобы он был типа с трансклипом и рандомами, что-то типа ( Пpeдлaгaem 3apaбoTаTь кy4ю деHeг 123ad2a ) то фильтры все равно улавливают это как спам!

[Опытный спамер]
…На мой взгляд, самый лучший способ — не париться, а обратиться к профи, спам перестает быть делом любителей…

[из передачи «В мире животных»]
…Вожак бдительно охраняет охотничьи владения своего прайда, отгоняя от него молодых самцов…

ОПЕРАЦИЯ «ИНФОРМАЦИЯ»

Поиск информации о противнике, каковым для спамеров являются производители антиспам-фильтров, является для «невидимых бойцов чересчур видимого фронта» насущной необходимостью и средством выживания. Тщательно анализируется реакция фильтров на различные варианты рассылок, собирается информация, находящаяся в открытом доступе.

Вот некоторые выдержки из доклада спамерского авторитета своим собратьям по бизнесу.

[Опытный спамер]
Добрый день, в руки администрации совершенно случайно попали видео-записи и документальные материалы первой национальной конференции «Проблема спама и её решения»… более подробно тут

[Опытный спамер]
Нового для себя узнал немного, но с удивлением обнаружил, что российский антиспам во многом опережает мировой, что радует. Итак, самые интересные на мой взгляд вещи…

[Опытный спамер]
Начнем с авторов статей и докладов, перечислю в столбик только их адреса, возможно кто-то захочет задать им вопросы или отблагодарить, или еще что-то…[следует список адресов докладчиков]

Далее докладчик подробно перечисляет прозвучавшие на конференции способы фильтрации спама, предлагая возможные способы обхода фильтров.

[из материалов конференции]
Спам содержит сообщение(рекламу) от заказчика рассылки. Таким образом, произвольного текста в сообщении быть не может, ТАМ БУДЕТ ОПИСАН РЕКЛАМИРУЕМЫЙ ПРОДУКТ ИЛИ УСЛУГА…

[Опытный спамер]

да, тонкий момент. Как многие понимают, подход к фильтрации, основанный на байесовской формуле условных вероятностей — самый лучший на данный момент метод, при достаточном количестве обрабатываемой почты. Крупные провайдеры ее имеют достаточно, начинают объединятся к коалиции, уже реализовали обратную связь с конечным пользователем. Предлагаю объединиться и нам, нужно дезадаптировать эти фильтры. Очевидный подход — рассылка рендомных анекдотов и историй, БЕЗ ВСЯКОЙ РЕКЛАМЫ. Да, это потери денег, но потери от фильтров — существеннее.

[из материалов конференции]
Эта способность байесового фильтра к обучению впечатляет: если бы у вас был человек-помощник, который бы классифицировал вашу почту, то он бы обучался тем же способом(впредь считай эти письма спамом), и врядли с лучшим качеством работы.

[Опытный спамер]
господа, еще раз указываю на то, что необходима зашумленность, 5-10% от общего потока спама — письма со связными НЕ рекламными текстами, взятыми из ЛЮБЫХ источников. Для КАЖДОГО письма текст должен быть новым и связным — анекдот, история, рассказ. Разумеется, с чистых ip и с верными заголовками. Чтобы прицепится было не к чему, а нервный юзер упорно нажимал кнопку — пожаловаться на спам.

[его коллега]
Все это очень интересно и полезно. Но давай развивать дисскуссию не здесь? Есть для этого более закрытые места. А то потом все наши мысли антиспамеры тоже будут брать на вооружение.

[от автора]
Пожалуй, господа спамеры преувеличивают ценность этой информации. Какими бы секретными ни были планы по «пробиванию» фильтров, все тайное становится явным после первых десятков писем из миллионной партии. Не случайно чуть позже тот же «докладчик» констатировал:

[Опытный спамер]
У них большие выборки, они пока всегда находят, к чему прицепиться. И пока справляются с объемом РАЗНООБРАЗНОГО спама. Что делать — можно слать быстро, чтобы дядечки не успели забанить. Можно рендомизировать хитро, но мусорные символы им только на руку, они однозначно свидетельствуют о том, что письмо — спам.

ЛУЧШАЯ РАБОТА — ЭТО ВЫСОКООПЛАЧИВАЕМОЕ ХОББИ

Именно союз с вирусописателями стал самым серьезным прорывом спамеров за последнее время. Долгие годы на вопрос «зачем люди пишут вирусы» звучали разные вариации ответа «для самоутверждения», «потешить самолюбие», «такое страное хобби». Но сейчас приходится констатировать, что вирусописание в союзе со спамом превратилось с одной стороны — в «гремучую смесь», мгновенно распространившуюся по всему Интернету, с другой стороны — в доходный бизнес с многомиллионным оборотом.

Грэм Клули, консультант фирмы компьютерной безопасности Sophos считает, что большинство вирусописателей «делает это, чтобы впечатлить приятелей, то есть их мотивы те же, что и у вандалов.»

«Я думаю, кто-то из компьютерно образованных подростков просто жутко возбуждается, наблюдая за тем, как их создания распространяются по миру и рассматриваются и частными пользователями, и транснациональными корпорациями в качестве серьезной проблемы, — говорит Клули. — Конечно, это должно их впечатлять, но им не приходится слишком уж хвастать, поскольку их могут и поймать.»

Однако сейчас он признает, что хакеры и вирусописатели сегодня сблизились как никогда.

В последнее время, добавляет Клули, появились неопровержимые доказательства того, что создатели вирусов все больше интересуются взломом компьютеров и воровством конфиденциальной информации.

«Деньги они получают от спаммеров, и есть доказательства того, что они начинают нанимать на работу лучших вирусописателей, — говорит Пол Вуд, старший эксперт по безопасности фирмы MessageLabs, в интервью Би-би-си. — Это напоминает теорию заговора, но они заметно продвинулись в организации своей высокотехнологичной уголовной деятельности».

Одно из свидетельств слов Вуда — вирус Sobig F, превращающий зараженные компьютеры в точки, из которых рассылаются миллионы сообщений, причем зачастую владельцы машин понятия об этом не имеют.

[от автора]
Новый импульс событиям придала война спамерских команд и распространяемых ими вирусов. В рядах кибер-преступников разгорается жестокая борьба за рынок, каковым для них являются наши с вами компьютеры. Любопытно, но в сражении участвуют и загадочные «белые рыцари» — борцы против вирусов, которые при помощи «добрых» вирусов удаляют с зараженных компьютеров вирусы «злые». Баталии разворачиваются нешуточные.

НАЖМИ НА КНОПКУ — ПОЛУЧИШЬ РЕЗУЛЬТАТ…

Если действия спамеров, рассылающих трояны, вызывают справедливое негодование, то реакция на это сотен тысяч пользователей порой просто шокирует. Не секрет, что большинство вирусов, посеявших панику и разрушения в Интернете в последнее время, сами не запускаются и ничего опасного не делают, оставляя выбор за владельцем компьютера и дожидаясь своего часа. Какова будет судьба этого вируса — зависит только от решения конечного пользователя.

[диалог в магазине]
-мне мыло и веревку
-намылите и повеситесь?
-нет, помоюсь — и в горы

Спамеры просто присылают программу, которая может превратить компьютер в рассыльщик спама. И 300 тысяч человек в течение пары часов запускают ее. Что движет этими мужественными людьми? О чем думает владелец компьютера в последние секунды перед тем, как дважды кликнуть на файле, прикрепленном к письму с нечитаемым обратным адресом и бессодержательным заголовком вроде «спасибо» или «мои подробности»?

НАС ЗАРАЖАЮТ НЕ ВИРУСЫ, А ИДЕИ

Мы умнеем. Достаточно быстро мы запомнили шесть опасных тем писем от незнакомцев. Мы не любим спамеров, мы боимся вирусов, мы запаслись ключами к «Антивирусу Касперского» на 150 лет вперед. Мы надеемся на Касперского — он спасет от вирусов. Мы верим Ашманову — он спасет от спама. Эти два ключевых слова, как сигнал доверия — и спамеры тоже их заметили.

К делу подключаются копирайтеры и социальная инженерия. Новые вирусы приходят от имени известных компаний. Спамеры уловили напряженность — и успешно ее используют. За подписью Касперского приходят сообщения, что «Ваш компьютер рассылает вирусы, он заражен, спасти вас может прикрепленная к письму бесплатная утилита». За подписьмю Ашманова — предупреждение, что «ваш компьютер рассылает спам и вам нужно действовать в соответствии с прикрепленной к письму инструкцией» (ну как тут не поверить). Опять массовые заражения машин. Которые усугубляются войной кибер-группировок.

Борьба, которую ведет против них интернет-сообщество, выбивает из строя слабых, показательных процессов над «заправилами» пока единицы, в России прецедентов не было вообще.

[Шендерович]
Уничтожить тараканов нельзя, но…
можно сделать их жизнь невыносимой

БИЗНЕСМЕНЫ В ГРЯЗНЫХ СМОКИНГАХ

«Баллада о спаме» будет неполной, если не вспомнить еще об одной группе действующих лиц. О тех, кто молчаливо соглашается на то, чтобы повредить компьютеры и отнять время и деньги у миллионов людей ради продажи дополнителного комплекта автошин, получения десятка клиентов на курсы такого необходимого всем языка, рассказать сибирскому инженеру про коттеджи под Москвой, а московскому студенту — про средство для увеличения потенции.

[Законы Мерфи]
Человек, который поставит себе за правило делать то, что хочется, недолго будет хотеть то, что делает

Эти люди уверены в своей безнаказанности. По данным проводимого нами анонимного опроса «коммерсантов», чьи телефоны взяты из рассылок — 80% будет продолжать рекламироваться при помощи спама, из них половина — собирается заказывать рассылки на большее количество адресов. Эти люди готовы нанести вред сотням тысяч — ради получения прибыли, часть которой опять пойдет на финансирование преступных кибер-группировок. Многие из них считают себя «честными бизнесменами», на которых могут положиться партнеры, которые не подведут и не причинят вред бизнесу «смежников» — но легко причиняют вред очень многим незнакомым людям — ведь украсть по десять центов у миллиона пользователей — намного безопасней, чем $100 000 у одного.

[Второзаконие]
Какой кто сделает вред ближнему своему, тем должно отплатить ему

Читают ли эти люди Библию? Вопрос риторический. Можно не отвечать.

[от автора]
Еще раз перечитал написанное — грустная картина, не хватает в ней оптимистичной концовки.

HAPPY END

На 8 марта в Екатеринбурге милиция останавливала на проспектах женщин-водителей и вручала им букеты цветов. В Нижнем Новгороде на праздник с неба на воздушных шарах спустились десятки тысяч цветов.

Хоть и редко, но все-таки случается, что у нас беспокоят тысячи людей, чтобы сделать им что-то действительно приятное!

Спам цвета хаки

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике