4 марта 2017 года специалист по безопасности Крис Викери (Chris Vickery) из компании MacKeeper заранее объявил, что к понедельнику появятся подробности о массивной утечке базы личных данных на 1,37 млрд записей. Он сдержал обещание. Вчера MacKeeper опубликовала подробности этой утечки. Оказалось, что её жертвой стала не какая-то нормальная компания, а спамерская фирма River City Media (RCM).
Под руководством известных спамеров Элвина Слокомбе (Alvin Slocombe) и Мэтта Ферриса (Matt Ferris) эта компания выдаёт себя за приличную маркетинговую фирму, в то же время сама хвастает в документах, что рассылает более миллиарда писем в день. И это при десятке сотрудников.
Что и говорить, с такой базой кто угодно может заняться «эффективным маркетингом».
База содержит не только адреса электронной почты, но и реальные имена, фамилии пользователей, IP-адреса, а часто и физические адреса.
На самом деле такая информация может пригодиться не только спамерам, но и другим заинтересованным лицам. Скажем, в ней есть огромное количество почтовых адресов в доменной зоне .mil — с именами и IP-адресами. Вы понимаете, что это значит.
Выборочная проверка базы показала, что это действительно реальная информация.
Расследование против спамерского гиганта RCM провели специалисты MacKeeper Security Research Center, CSOOnline и Spamhaus. Всё началось с того, что в январе этого года Крис Викери натолкнулся в открытом доступе на странный, но подозрительный набор файлов. Как выяснилось впоследствии, резервная копия базы принадлежала River City Media. Файлы не были защищены паролем. Крис Викери пока не сказал, где именно он «случайно обнаружил» файлы. Будем надеяться, что специалист по информационной безопасности не совершил ничего незаконного.
Утечка произошла из-за неправильной конфигурации
rsync
— популярной утилиты для резервного копирования, синхронизации и зеркалирования данных между серверами.Бэкапы RCM лежали в открытом доступе уже более месяца. Часть файлов датируется январём 2017 года, а другая часть — декабрём 2016 года.
Среди файлов оказалась база размером 222,8 ГиБ с адресами электронной почты. Общее количество записей — 1 374 159 612.
Судя по статистике почтовых сервисов, спамеры явно ориентировались на американских пользователей. Среди самых популярных нет российских почтовых доменов. Но зато в базе, наверное, присутствуют почти все американские пользователи.
Изучение файлов показало, что RCM не просто спамер, а очень искушённый в своём деле агент. Для рассылки писем они использовали автоматические методы и некоторые хакерские техники. Например, проверяли почтовые серверы на предмет уязвимой конфигурации, а потом использовали эту информацию для массовых рассылок. Об этом свидетельствует наличие скриптов и логи чатов, найденные в бэкапах. Вот один фрагмент из этих чатов, где обсуждается техника, как обмануть антиспамерские фильтры Gmail и завалить письмами этот почтовый сервер.
Объясняется, что нужно поднять максимальное количество соединений с Gmail, но ничего не отправлять, просто долго держать соединения открытыми. Это делается путём конфигурации своей машины на максимальную задержку ответных пакетов и фрагментированным образом, одновременно открывая всё больше соединений. Ну а потом, когда Gmail уже почти готов разорвать соединения по таймауту, ввалить отправку писем на полную катушку по всем открытым соединениям, пока Gmail не захлебнётся и не отключит их.
Техника открытия как можно большего количества соединений между вашей машиной и компьютером жертвы, фактически, является атакой типа Slowloris, разновидностью DoS. Хитрость тут в том, что спамер не пытается вывести из строя компьютер жертвы, а пытается захватить и использовать как можно больше её ресурсов. В данном случае — чтобы всучить Gmail максимально возможное количество спам-почты.
Логи провайдера TierPoint, который использовала RCM, показывают проблемы с забивкой ящиков AOL
Подробности о разных видах атак со скриптами отправлены в Microsoft, Apple и другим фирмам, которых использовала спамерская банда.
Неизвестно, какими методами пользовалась River City Media, чтобы собрать эту информацию. Наверняка в ближайшее время Элвин Слокомбе и его подельники объявят, что не делали ничего незаконного. Возможно, база собрана через так называемые «ко-регистрации», когда человек регистрируется в каком-то сервисе, но не замечает галочки вроде «Разрешаю делиться своей информацией с третьими лицами». Владельцы интернет-сервисов и программ собирают базы своих пользователей и могут продавать эти базы третьим лицам.
Что ж, теперь RCM будет гораздо сложнее использовать старые методы. По состоянию на вчера Spamhaus внёс в свою базу всю инфраструктуру River City Media.
Крис Викери обещает в ближайшее время опубликовать ряд документов из бэкапа RCM, там достаточно интересных электронных таблиц, есть бэкапы жёстких дисков, логи чатов и др. А в блоге Salt Hash подробно описываются некоторые методы, которые использовала RCM для своего грязного заработка на интернет-рекламе: фальшивые страницы поисковых систем, продажа баннерной рекламы на сайтах с переносом её в тело письма и т.д. На всей этой гадости компания собрала с октября 2016 года по январь 2017 года немалую сумму $937 451,21 от различных рекламных сетей, в том числе AdDemand, W4, AD1 Media (Flex) и Union Square Media.