Nul
De FBI, Google, en 20 tech industrie partners hebben samengewerkt bij het nemen van een gigantische cyber-crimineel netwerk dat betrokken is bij het genereren van valse advertentie weergaven en klikken dat gebruikt wordt om te frauderen advertentienetwerken en adverteerders in de afgelopen vier jaar en miljoenen mensen in de illegale inkomsten voor de regeling van de daders.
Naast een gecoördineerde interventie op te nemen een aantal van de strafrechtelijke regeling van botnets, het AMERIKAANSE Ministerie van Justitie kondigde ook een 13-count aanklacht tegen acht verdachten geloofd te worden achter deze operatie, van wie er drie zijn al gearresteerd en in afwachting van uitlevering aan de VS.
De 3ve ad fraude regeling
Volgens een amerikaanse ministerie van justitie een aanklacht en een witboek uitgebracht door Google en cyber-security stevige Witte Ops, de acht verdachten zijn vermoedelijk de belangrijkste exploitanten van een advertentie fraude regeling die de cyber-security-en reclame-industrie is het bijhouden sinds vorig jaar onder de codenaam “3ve,” en die wordt verondersteld te zijn al actief sinds minstens 2014.
De onderzoekers zeiden dat de loop van de tijd, de 3ve operatoren gebruikt verschillende programma ‘s voor het genereren van advertentie weergaven en klikken, met een beroep op een hoop trucs, zoals het huren van andere cybercrime botnets, het creëren van hun eigen botnets gehost op commerciële datacenters, kaping IP-adres blokkeert, het gebruik van proxy’ s te verbergen echte IP-adressen, en zelfs het maken van hun eigen website waarop zij de weergegeven advertenties, om ervoor te zorgen dat bots advertenties te laden en klik op.
Gebaseerd op de waarnemingen of de praktijken uit het verleden, Google en partners uit de industrie hebben georganiseerd 3ve de activiteiten in drie subgroepen, elk met zijn eigen specifieke kenmerken.
Afbeelding: Google, Wit Ops
3ve.1 –aka MethBot, Miuref, of Boaxxe
De eerste van deze regeling, 3ve.1, is reeds besproken in de vorige verslagen, zij het, op het moment van de ontdekking was het nog niet bekend dat het slechts een klein onderdeel van een grotere operatie.
Aanvankelijk geïdentificeerd als MethBot (WhiteOps termijn) in de eerste meldingen, maar ook gevolgd als de Miuref (Symantec termijn) of de Boaxxe (ESET termijn) botnets, de 3ve.1 operatie werd aangedreven door een netwerk van bots, alle actief zijn in een paar datacenters in de VS en Europa.
Deze bots waren eenvoudige scripts uitgevoerd op data center-servers, die geopend duizenden geautomatiseerde web browsers die gebruikt een proxy-server om de server ‘ s IP-adres en later geplaatst op de gewenste website.
In de 3ve.1 regeling, oplichters geld gemaakt door het uitvoeren van valse advertentie netwerken die ontvangen betalingen van andere advertentienetwerken of adverteerders als ze tonen advertenties op echte websites.
Volgens de FBI, de 3ve groep gebruikt meer dan 1.900 servers ondergebracht in commerciële datacenters hosten van de MethBot/Miuref/Boaxxe bots dat zou een belasting van 5000 vervalste websites, die zou laden advertenties van adverteerders, het genereren van winst voor de 3ve bende.
De bots zijn geconfigureerd om na te bootsen, zowel dekstop en mobiel verkeer, en in sommige gevallen ook geklikt op advertenties, te vervalsen echte verkeer van gebruikers en het genereren van nog meer inkomsten voor de 3ve bende.
Onderzoekers zeggen dat als ad-netwerken gestart met het opsporen van de groep van de campagne, de 3ve.1 subgroep begon het kapen van zakelijke en residentiële IP-adres blokkeert, waardoor ze tijdelijk bij hun datacenter servers en proxies te maskeren hun activiteiten.
Afbeelding: Google, Wit Ops
3ve.2 –de Kovter regeling
Maar als reclame-netwerken gestart zwarte lijst van de IP-adressen gekoppeld met de 3ve.1 activiteiten, oplichters ook gediversifieerde hun regeling door het huren van “het installeren van de ruimte”, aangeboden door de exploitanten van Kovter malware botnet.
Onderzoekers zeggen dat de 3ve bende ingezet met een aangepaste bot op meer dan 700.000 computers die besmet zijn met de Kovter malware; bot die geopend verborgen browser windows te laden websites die worden beheerd door de 3ve bende, het genereren van winst op een vergelijkbare wijze als de 3ve.1 subgroep, maar met behulp van door malware geïnfecteerde Pc ‘ s in plaats van datacenter gehost bots.
Afbeelding: Google, Wit Ops
3ve.3 –3ve.1, met een twist
De derde regeling was bijna identiek aan de eerste, met twee belangrijke verschillen. De eerste was dat oplichters gebruikt een veel kleinere hoeveelheid data center bots, en ten tweede, 3ve exploitanten verhuurd andere data center-servers te gebruiken als proxy ‘ s in plaats van het kapen van IP-adressen van residentiële netwerken.
“Hoewel het makkelijker op te sporen, op deze manier konden ze tot het plegen van ad fraude efficiënter — datacenters bieden een grotere bandbreedte dan honderdduizenden woningen computers,” Google zei in haar rapport.
Afbeelding: Google, Wit Ops
In een blogpost van vandaag, Google geopenbaard dat dit bewust werd van 3ve de volledige mogelijkheden en activiteiten van het afgelopen jaar, als het onderzoek vorderde, werd het steeds van bewust zijn dat andere platforms voor advertenties en cyber-security bedrijven waren ook op zoek naar dezelfde werking. Google zei dat het samenstellen van een werkgroep met verschillende partners uit de industrie om de coördinatie van een takedown van 3ve het gehele netwerk.
Sommige van de infosec en de advertentie-industrie de grootste spelers werden uitgenodigd, zoals Microsoft, ESET en Symantec, Proofpoint, Trend Micro, F-Secure, Malwarebytes, CenturyLink, MediaMath, Wit Ops, Amazon, Adobe, Handel Bureau, Eed, De Shadowserver Foundation, en het Nationaal Cyber-Forensisch onderzoek en de Opleiding van het Bondgenootschap.
Ministerie van justitie aanklachten, arrestaties, en 3ve takedown
Handhaving van de wet was ook uitgenodigd, wat resulteerde in de huidige ministerie van justitie een aanklacht, het benoemen van zes russische onderdanen en twee van Kazachstan als de belangrijkste 3ve operators.
De namen van deze eerste acht verdachten zijn Aleksandr Zhukov (38, Rusland), Boris Timokhin (39, Rusland), Michail Andreev (34, Rusland), Denis Avdeev (40, Rusland), Dmitry Novikov (??, Rusland), Sergey Ovsjannikov (30, Kazachstan), Aleksandr Isaev (31, Rusland), en Jevgeni Timchenko (30, Kazachstan).
Drie zijn al opgepakt in de VS opdracht. Zhukov werd gearresteerd eerder deze maand in Bulgarije, Timchenko in Estland, en Ovsjannikov in Maleisië (laatste maand). De overige verdachten zijn in het algemeen, volgens AMERIKAANSE functionarissen en internationale arrestatiebevelen zijn uitgevaardigd in hun namen.
Maar naast de arrestaties, de FBI ook verkregen beslag warrants machtiging van de onderzoekers om de controle van 31 internet-domeinen en 89 servers die zijn gebruikt voor het beheren van de 3ve infrastructuur.
Volgens een grafiek Google gedeelde vandaag, de impact op frauduleuze advertentie plaatsing aanvragen direct neerzet als de FBI en de collega-cyber-security bedrijven begonnen op de zwarte lijst plaatsen en sinkholing de 3ve infrastructuur.
Afbeelding: Google
Google zegt dat op haar hoogtepunt, de 3ve bewerking gegenereerd van meer dan drie miljard frauduleuze dagelijkse ad bod verzoeken, werkzaam meer dan 60.000 accounts verkoop van frauduleuze advertentie voorraden, bediende meer dan 10.000 vervalste websites met als enige doel het tonen van advertenties, liep meer dan 1.000 datacenter servers, en gecontroleerd door meer dan een miljoen IP-adressen voor het verbergen van de verschillende 3ve bots.
Terwijl Google nog niet gepost is een officieel nummer, financiële schade aan adverteerders worden verondersteld om in het bereik van miljoenen AMERIKAANSE dollars.
Verwante dekking:
Oekraïense politie arresteert hacker die besmet zijn meer dan 2.000 gebruikers met DarkComet RAT
Stad van Valdez, Alaska geeft toe dat het aflossen van ransomware infectieMagecart groep hilarisch saboteert concurrentAtlanta ransomware aanvallen op ‘mission critical’ systemen CNETHackers gebruiken Drupalgeddon 2 en Vuil KOE exploits over te nemen web serversEmotet malware draait op een dual-infrastructuur te voorkomen, downtime en takedownsDeze remote access trojan slechts dook op malware ‘ s most wanted-lijstBanking trojans, niet ransomware, zijn de grootste bedreiging nu TechRepublic
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0