Хакер рассказал в мемуарах, как он обходил спам-фильтры Mail.ru
Хакер Дмитрий Артимович, устроивший в 2010 г. DDoS-атаку против «Аэрофлота» и отбывший из-за нее срок, написал мемуары. Он рассказал, как занялся бизнесом по рассылке спама, как его обманывали «партнеры» по подпольным онлайн-продажам фармацевтики и как ему якобы удалось обойти систему антиспам фильтрации Mail.ru.
Мемуары хакера Дмитрия Артимовича
Хакер Дмитрий Артимович написал книгу мемуаров под названием «Я - хакер». Артимович получил известность после того, как летом 2010 г. вместе с братом Игорем устроил DDoS-атаку против «Аэрофлота», из-за которой в течение двух недель не работала оплата электронных билетов на его сайте. Заказчиком той атаки выступал владелец платежной системы Chronopay Павел Врублевский. Все трое фигурантов отбыли за это тюремный срок.
Как в семье учителей выросли два хакера
Братья Артимовичи выросли в 1990-е в семье учителей в Кингисеппском районе Ленинградской области. В детстве у них был компьютер Spectrum, где пользователь мог писать софт на языке Basic, и это привило будущим хакерам любовь к программированию.
В старших классах родители устроили Дмитрия Артимовича в гимназию в Кингисеппе. Там стояли IBM PC-совместимые компьютеры (на тот момент стало понятно, что это будет основная архитектура ПК, которая оттеснит другие решения).
Артимович с такими устройствами работать не умел (знания по работе со Spectrum тут не могли помочь), в связи с чем вызвал насмешки со стороны одноклассников. Родителям пришлось продать дачу, чтобы купить братьям IBM PC-совместимый компьютер на базе самого современного по тем временам процессора Intel Pentium II.
Впоследствии Дмитрий Артимович поступил на физический факультет Петербургского государственного университета и переехал жить в общежитие в Санкт-Петербурге. Вскоре он устроился на работу программистом в компанию «Адамант Мультимедиа» (подразделение петербургского строительного холдинга «Адамант») и занялся разработкой компьютерных игр. Учебу Артимович быстро забросил, но благодаря договоренности с комендантом общежития, сохранил там регистрацию, что, в свою очередь, позволило ему избежать призыва в армию. Его брат Игорь также работал в то время программистом в компании Sun Microsystems.
По словам Артимовича, зарплату в «Адаманте» платили в конвертах. В какой-то момент руководство решило повысить Артимовичу зарплату с $1,8 тыс. до $2 тыс. в месяц, но затем передумало и вернулось к прежнему размеру жалования. В ответ Артимович решил без предупреждения уволиться: получив конверт с зарплатой за последний месяц, он больше на работе не появлялся.
На чем зарабатывают создатели «дорвеев»
Одновременно братья Артимовичи освоили новый бизнес: создание «дорвеев» - страниц, который ориентированы на приоритетную выдачу в поисковых системах с целью дальнейшей переадресации на другие ресурсы. Данный вид деятельности можно называть поисковым спамом или «черной поисковой оптимизацией» (black SEO). Услугами создателей «дорвеев» пользовались интернет-магазины.
Монетизация осуществлялась по схеме Pay-Per-Click (PPC) или через партнерские программы. Вступив в партнерскую программу, веб-мастер получает комиссию от покупок, которые совершили приведенные им пользователи. Схема PPC предполагает продажу в режиме аукциона: ресурс, сделавший наибольшую ставку на определенные ключевые слова, получает возможность показа рекламы на соответствующем «дорвеи» с оплатой за каждый клик. Основными аукционами в данной сфере были Umax и KlickVip.
Как русские хакеры помогали американцам покупать дешевые лекарства из Азии
В конце 2000-х особую популярность приобрели партнерские программы по продаже фармацевтических препаратов в интернете, причем основными игроками на нем были российские хакеры. Суть бизнеса состоит в том, что в США и странах Европы фармацевтические препараты стоят довольно дорого, кроме того, для их покупки зачастую нужны рецепты. В то же время в Индии и Китае активно производят «дженерики»: подделки под лекарственные препараты известных западных фирм, которые аналогичны по своим свойствам.
Задача партнерских программ состоит в том, что соединить друг с другом продавцом с Востока и покупателей с Запада. Наиболее ходовым товаром в таких сетях была виагра, но встречались и «контролы» - препараты, чей оборот ограничен. Поскольку такого рода сомнительна с точки зрения закона, создать и раскрутить какой-либо централизованный сайт по продаже поддельных лекарственных препаратов будет не лучшим решением.
Вместо этого создавались партнерские программы: любой желающий веб-мастер мог вступить в них, создать свои «витрины» и получать комиссии за приведенных клиентов. Основным способом «маркетинга» в таких сетях стал почтовый и поисковый спам.
Для распространения почтового спама используется вредоносное ПО – «ботнеты»: соответствующая программа незаметно для владельца компьютера устанавливается на машину пользователя и превращает ее машину для рассылки спама («бота»). Помимо вредоносного ПО, для распространения спама необходимы базы почтовых адресов и базы «загрузок», предоставляющие возможность устанавливать вредоносное ПО на компьютеры пользователей. В роли продавцом «загрузок», как правило, выступают владельцы порно-сайтов: они незаметно устанавливают вредоносное ПО на компьютеры зашедших к ним пользователей.
Лидером подпольного рынка онлайн-фармацевтики в те годы были партнерская программа Glavmed и аффилированная с ней программа SpamIt. Владельца указанных партнерских программ были Игорь Гусев (ник Desp) и его партнер Дмитрий Ступин (ник Saintd). Они же были администраторами форума Spamdot.
Впоследствии, в интервью американскому журналисту Брайану Кребсу (Brian Krebs) Гусев признал данный факт, отметив, что созданные им партнерские программы торговали, в основном, виагрой и, в отличие от конкурентов, не занимались «контролами».
Также на «рынке» присутствовали такие партнерские программы, как Rx-Promotion, Evapharmacy, Rx-Partners и другие. Спамеры общались друг с другом на специализированных форумах, одним из крупнейших был форум Spamdot. Его администраторами также выступали Гусев и Ступин. На таких форумах можно было приобрести все необходимые для рассылки спама: базы почтовых адресов, ботнеты и «загрузки», а также вступить в партнерские программы.
Как с помощью спама раскрутить «дорвеи»
Братья Артимовичи также занялись этим видом бизнеса. Они создали «дорвеи», ориентированные на фармацевтику. Для их раскрутки необходимо было собрать «ссылочную массу»: с этой целью они приобрели утилиты SpamIT и XRunner, который оставляли ссылки на нужные сайты на форумах и гостевых книгах. Также братья арендовали украинский «абуз-устойчивый» (невосприимчивый к жалобам на спам) хостинг DreamHoster для распространения спама по гостевым книгам.
Правда, в определенный момент DreamHoster прекратил обслуживание, не вернув Артимовичам заплаченные ими деньги. После этого братья нашли «абуз-устойчивый» хостинг в США, пообещав при получении жалоб на спам удалять соответствующие ресурсы из своих баз. Для генерации «дорвеев» братья разработали ПО Door!IT, которое потом удалось продать на форумах поисковых оптимизаторов (SEO).
В итоге, разметив на блогсервисе Blogspot.com сайт с объявлениями по продаже виагры и продвигая его «дорвеями» по ключевым словам «buy Viagra» и «buy Viagra online», братья смогли выйди на первые страницы поисковых запросов про виагру на поисковике MSN. Так начались первые продажи.
Как спамеры собирают почтовые адреса
Одним из основных мест общения спамеров в то время был форум Spamdot, на котором братья Артимовичи использовали ник Engel. Изучение объявлений на данном форуме навело братьев на мысль заняться сбором почтовых адресов для спам-рассылок. С этой целью они написали собственного «веб-паука», который сканировал веб-страницы в поиске адресов. Впоследствии братья разработали целый набор ПО под названием Spam Studio, который обеспечивал сбор почтовых адресов, удаление дубликатов, фильтрацию от «мусора» и т.д.
«Веб-паук» сознательно игнорировал запрет на индексацию, который устанавливают некоторые сайты, нежелающие быть проиндексированными подобного рода «роботами». Соответственно, от владельцев таких сайтов посыпались жалобы на действия созданного Артимовичами «роботами». Братья Артимовичи не хотели отказываться от сбора адресов с таких сайтов. Вместо этого они создали фальшивый сайт ученых из Новосибирского университета, которые якобы в исследовательских целях написали поискового робота и тем, кто не желает быть им проиндексирован, рекомендовалось сообщить об этом.
Как спамеры покупают ботнеты и «загрузки»
Для работы «веб-паука» братья Артимовичи арендовали виртуальный сервер за $1 тыс. в месяц. За первый месяц было собрано 100 млн почтовых адресов. Эту базу братья смогли продать за $4 тыс. Вырученные средства были потрачены на покупку спам-ботнета Obulk Psyche Evolution (Cutmail): он стоил $1,2 тыс в месяц плюс 20% от полученных продаж.
Также были приобретены «загрузки»: их стоимость варьировалась от страны происхождения «ботов», самые дешевые – это «микс-загрузки» (с IP-адресами из разных стран), самые дорогие – с IP-адресами из США. Основной проблемой «микс-загрузок» была их недолговечность: боты «умирали» практически через несколько дней.
Файл-загрузчик маскировался под скринсейвер с голой актрисой Анжелиной Джоли (Angelina Jolie). Однако братья Артимовичи заметили, что через несколько дней после покупки базы «загрузок» число «ботов» резко уменьшается. Причем такое явление происходило не только с «микс-загрузками», но и с «чистыми» загрузками европейских пользователей.
Проведя анализ трафика, братья Артимовичи поняли, что их обманывают, а ботнет по их «загрузкам» и базам адресов рассылает чужие письма. После разговора с создателем ботнета Cutmail (он использовал ник Gugle) тот согласился в качестве компенсации выплатить братьям $10 тыс и предоставить бесплатный доступ к своему ботнету. Впрочем, по факту Gugle выплатил лишь половину от обещанной денежной компенсации и предоставил «мусорную» базу почтовых адресов (по данным Кребса, за этим ником скрывался Дмитрий Нечовод).
Как удалось обойти систему антиспам фильтрации Mail.ru
В конце 2007 г. братья Артимовичи стали сотрудничать со Spam IT и за первый месяц заработали таким образом $8 тыс. Также братья стали продавать услуги рассылки спама по имеющимся у них адресам: отправка 1 млн писем стоила $100. Кроме того, Артимович утверждает, что он создал «вебмейлер» - программу для отправки спама через веб-интерфейс Mail.ru (это было необходимо для обхода антиспам фильтров популярных почтовых служб). ПО получило название NorthWind и вошло в состав пакета Spam Studio.
Поскольку на Mail.ru при отправке большого числа писем возникает CAPTCHA (проверка на то, реальный ли человек совершает действие), Артимовичи заказали у создатели утилиты XRumer - он использовал ник Bootmaster – разработку модуля для отгадывания CAPTCHA от Mail.ru. Разработка стоила $4 тыс. с оплатой за дальнейшую поддержку.
NorthWind продавался по цене $4 тыс. за одну копию и с оплатой за дополнительные сервисы. Артимович утверждает, что именно из-за этого решения в 2009-2010 гг. Mail.ru столкнулась с большим потоком внутреннего спама и оказалась вынуждена модифицировать собственные антиспам фильтры, что, в свою очередь, привело к фильтрации и легитимной корреспонденции. Пресс-служба холдинга VK, владеющего в настоящее время Mail.ru, отказалась от комментариев по данному вопросу.
Как Артимовичи создали собственный ботнет
Следующим шагом стало создание братьями Артимовича собственного ботнета. Его основой стало вредоносное ПО, которое маскировалось под драйвер и проникало в ядро ОС Microsoft Windows с целью дальнейшего получения команд от сервера. Также частью ботнета стали управляющий сервер и веб-интерфейс. По классификации антивирусных компаний данное ПО получило названия Topol-Mailer или Festi.
Дополнительно был написан модуль рассылки писем: он передавал ботам шаблоны и макросы для составления писем, списки почтовых адресов и адрес почтового сервера. При отладке ботнета братья Артимовичи столкнулись с проблемой: многие зараженные компьютеры зависали (возникал «голубой экран смерти»), а владельцам ботнета об этом не было известно. Проблема была решена путем добавления во вредоносное ПО возможности составления отчета об ошибках, который передавался владельцам ботнета при повторном включении компьютера. Оказалось, что зачастую причиной сбоя была перегрузка компьютера различным вредоносным ПО («чужие ботнеты»).
Как спамеры обманывают друг друга
В конце 2009 г. ботнет был готов. По объявлению на форуме SpamDot Артимович нашел владельца большой базы «загрузчиков», пользователя с ником Jaguarc, и между сторонами началось сотрудничество. Однако при большой посещаемости раскручиваемых таким образом ресурсом «конверсия» (соотношение совершивших покупку пользователей к общему числу посетителей) составляла лишь 1 к 3300.
Участники процесса предположили, что SpamIT осуществляет так называемый «шейвинг», то есть попросту обманывает своих партнеров, скрывая от них покупки и недоплачивая таким образом комиссию. Когда работа бот-нета была проверена на другом аккаунте в SpamIT, принадлежавшем Jaguarc, оказалось, что конверсия составляет 1 к 169.
После этого между братьями Артимовичем и администратором Spamdot и SpamIT с ником Saintd (Дмитрий Ступин) состоялся диалог на повышенных тонах в ICQ: Saintd отверг обвинения в «шейминге», а также порекомендовал братьям прекратить распространять обвинения в адрес сети и попытки выйти на ее создателей.
После этого братья Артимовичи связались по ICQ со страшим администратором, использовавшим ник Desp (Игорь Гусев). Тот пообещал во всем разобраться, но пропал. В результате братья Артимовичи вместе с другим пользователем форума Spamdot под ником Lex решили создать собственный форум для спамеров, который получил название SpamPlanet. На новый форум переключились некоторые партнерские программы, включая SpamPromo, созданную пользователем с ником Hellman (согласно материалам уголовного дела о DDoS-атаке «Аэрофлота», за этим ником стоял Юрий Кабаенков).
Братья Артимовичи также переключили своего бота на SpamPromo. Через платежную систему Webmoney они получили первую выплату - $2 тыс. Но вскоре между партнерами возник конфликт: Артимовичи оплатили хостинг и домен для форума SpamPlanet, однако пароли от хостинга держал Lex. Он отказался передать братьям Артимовичам пароли и затем создал собственный форум – SpamPeople.
После этого Артимовичам по ICQ написал пользователь с ником Redeye и предложил встретиться. Это был администратор форума для создателей порнографических веб-сайтов Crutop. Артимович не указывает, кто стоял за этим ником, но из материалов уголовного дела о DDoS-атаке «Аэрофлота» известно, что это был владелец платежной системы Chornopay (лидер по приему платежей с банковских карт в те годы в Рунете) Павел Врублевский.
Это встреча серьезно повлияла на судьбу братьев Артимовичей и вылилась впоследствии в DDoS-атак против «Аэрофлота».