مقابله با کمیپین کلاه برداری تبلیغاتی توسط FBI

به گزارش کارگروه امنیت سایبربان، به نقل از «securityaffairs»؛ ادارات اجرای قانون و شرکت های خصوصی مانند گوگل و وایت اپس (Whiteops)، یکی از بزرگترین و پیچیده ترین کمپین های کلاه برداری تبلیغاتی دیجیتال را که به عنوان «3ve» شناخته شده بود، نابود کردند. این کمپین بیش از 1.7 میلیون رایانه را آلوده کرد تا کلاه برداری های تبلیغاتی را به انجام برساند.

نام «3ve» از از 3 زیرمجموعه ی متمایز که با استفاده از اقدامات منحصربه فرد، به منظور جلوگیری از شناسایی، گرفته شده است. هر یک از این زیرمجموعه ها بر پایه ی معماری های متفاوت با اجزای مختلفی ساخته شده اند.

کمپین نام برده، حداقل از سال 2014 فعال بوده و کارشناسان در سال 2017، شاهد افزایش فعالیت آن هستند. برآورد می شود این کمپین به عاملان خود، اجازه ی کسب بیش از 30 میلیون دلار را داده است و مردمی که درگیر این کلاهبرداری شده اند، همگی از شرق اروپا بودند.

وزارت دادگستری ایالات متحده، 8 نفر از روسیه، قزاقستان و اوکراین را در رابطه با مسئله یاد شده محکوم کرده است.

مهاجمان، از محدوده ی گسترده ای از روش ها برای کسب درآمد از اقداماتشان استفاده کرده اند. آن ها نسخه های جعلی از هر 2 وب سایت ساخته و از بات نت های برای شبیه سازی فعالیت بازدید کنندگان، استفاده می کردند؛ سپس به تبلیغ کنندگان، فضای تبلیغات ارائه داده و کنترل پروتکل دروازه ای مرزی (Border Gateway Protocol) را برای تغییر مسیر ترافیک به دست می گرفتند. کلاهبرداران همچنین با استفاده از کد مخرب، کلیک های جعلی روی تبلیغات آنلاین ساخته و پول به دست می آورده اند.

در گزارش منتشر شده از شرکت وات اپس آمده است:

عملیات 3ve در مقیاس بزرگی اجرا شده است. در اوج این حمله، بیش از یک میلیون آی پی از آلودگی بات نت های محلی و فضای های آی پی شرکتی تحت کنترل در آمده است. این آی پی ها عمدتا در آمریکای شمالی و اروپا بودند. برای مقایسه، این تعداد بیشتر از اشتراک های پهنای باند ایرلند است. عملیات نام برده، چندین زیر عملیات جداگانه را نمایان کرد که هر یک از آن ها، یک طرح کلاه برداری تبلیغاتی پیشرفته مختص به خود را بنا کردند. کلاه برداران باهوش فناوری، سعی می کنند ترافیک جعلی و موجودی تقلبی آگهی را فراهم کنند تا تبلیغ کنندگان را به این باور برسانند که تبلیغاتشان توسط کاربران واقعی و علاقه مند بازدید می شوند، فریب دهند.

تعداد زیرساخت های درگیر شده در کمپین کلاهبرداری مذکور، بسیار زیاد است. طبق گفته ی کارشناسان، مجرمان 1.7 میلیون رایانه را با بدافزار آلوده کرده اند. مهاجمان از هزاران سرور و بیش از 10 هزار وب سایت جعلی به منظور جعل هویت ناشران وب قانونی، استفاده کرده اند.

متخصصان کشف کردندکه کلاه برداران بیش از 60 هزار حساب کاربری را مورد استفاده قرار داده و موجودی تبلیغات را به فروش می رساندند. در نتیجه این اقدام، روزانه 3 تا 12 میلیارد درخواست مزایده ی تبلیغات ثبت می شد.

گزارش در ادامه افزود:

روی هم رفته، عملیات 3ve بیش از یک میلیون ای پی را از هر 2 آلودگی های بات نت های محلی و فضاهای آی پی شرکتی، کنترل کرده است. همانطور که در بالا اشاره شد، در هر زمان، حدود 70 هزار آلودگی فعال وجود داشت. در مجموع، این عملیات، بیش از 10 هزار دامنه ی جعلی را نیز تولید و بیش از 3 میلیارد درخواست مزایده را به طور روزانه در اوج فعالیت خود، ایجاد کرد. ما تخمین می زنیم که بخش هایی از عملیات بات ها، شامل بیش از یک هزار سرور در مرکز داده های اختصاص یافته به توابع مختلف مورد نیاز برای این نوع عملیات، در مقیاس بالا، شرکت داشته است.

کارشناسان 3 عملیات «3ve» را در طول تحقیقاتشان، مشاهده کردند:

عملیات «3ve.1»- طرح بدافزار «The BOAXXE» (ملقب به METHBOT/MIUREF)

به اصطلاح عملیات جانبی «3ve.1»، از بات نت «BOAXXE» به «Methbot» و «Miuref» معروف بوده، از سامانه های آلوده در مراکز داده در سراسر ایلات متحده و اروپا استفاده می کند.

مهاجمان همچنین با هدف به دست آوردن آدرس های آی پی مورد استفاده برای پروکسی ترافیک از بات های آسیب دیده مراکز داده ها، پروتکل دروازه مرزی را به اختیار خود در آوردند. سپس سامانه های آلوده برای بازدید از صفحات وب اصلی و جعلی مورد استفاده قرار گرفتند.

در گزارش یاد شده آمده است:

همه ی درخواست های تبلیغاتی جعلی از عملیات نام برده، در ابتدا وانمود کردند که از سوی مرورگرهای دسکتاپ هستند؛ اما این مسئله در طول زمان، تغییر کرد. زیرا در این عملیات به طور فزاینده ای از ترافیک جعلی تلفن همراه بهره گرفته شد. یک مرورگر بر پایه ی مرکز داده ، تظاهر کرده بود دستگاه هایی اندرویدی، است.

در بخش دیگری از گزارش نوشته شده است:

2 طرح منحصر به فرد، فعال و تحریفی وجود داشت. در یکی از آن ها، درخواست های تبلیغاتی جعل شده بودند تا به نظر برسند که از نرم افزار های تلفن همراه نشات می گیرند. در طرح دیگر، درخواست های تبلیغاتی به گونه ای جعل شده بودند که به نظر می رسید از مرورگرهای تلفن همراه باشند. این عمل توسط برجسته سازی پارامترهایی صورت گرفت که معمولا برای تعیین دستگاهی که ترافیک از آن سرچشمه می گیرد، استفاده می شود.

به گفته ی محققان، این طرح، در بازه زمانی سپتامبر سال 2014 و دسامبر سال 2016،  بیش از یک هزار و 900 سرور را شامل می شد که در مراکز داده ی تجاری میزبانی شده بودند و تبلیغات را از تبلیغ کنندگان روی بیش از 5 هزار وب سایت تقلبی، بارگذاری می کردند. با این اقدام، کلاهبرداران میلیون ها دلار سود را برای اپراتورهای خود به دست آورند.

عملیات «3ve.2»- طرح بدافزار «Kovter»

در این طرح، مهاجمان از دامنه های تقلبی برای فروش موجودی آگهی های جعلی به تبلیغ کنندگان، استفاده می کردند. آن ها یک عامل مرورگر سفارشی پنهانی (Chromium Embedded Framework) را در بیش از 700 هزار رایانه که با بدافزار «Kovter» آلوده شده بودند، مورد استفاده قرار دادند.

کلاه برداران از سرورهای مسیریابی مجدد استفاده کرده اند و به رایانه های آلوده دستور دادند تا از صفحات وب جعلی که توسط گروه مجرمان اداره می شود، بازدید کنند.

عملیات «3ve.3»- آی پی های مراکز داده به عنوان پروکسی

در سومین زیر عملیات، بات ها در مراکز داده نصب شده بودند و از آدرس های آی پی مراکز داده ی دیگر به عنوان پروکسی، استفاده می کردند.

کمپین «3ve» ابتدا در سال 2016 و توسط «ESET» شناسایی شد که بات نت را به عنوان بات نت «BOAXXE» ردیابی می کرد.

شرکت های امنیتی به اف بی ای کمک کردند تا این عملیات بزرگ کلاه برداری تبلیغاتی را متوقف کند. ادارات اجرای قانون، حکم ضبط 31 دامنه ی اینترنتی و 89 سرور از زیرساخت های «3ve» را کسب کردند. در این عملیان حدود 20 شرکت بزرگ فناوری و امنیتی با یکدیگر همکاری می کردند.