Вот очередной день, когда ботнеты пытаются взломать мой скромный почтовый сервер брутфорсом для рассылки спама. Такое случается волнами, но волны эти возникают постоянно и являются частью жизни системного администратора (естественно, они терпят неудачу ;).
Недавно я узнал, что существует теневой рынок, на котором разработчикам приложений предлагают включить в свои продукты библиотеку «peer to peer proxy», чтобы пользователи их приложения «выделяли» из своего сетевого трафика 120-150 КБ/с этой компании.
Разработчику платят за включение указанной библиотеки (например, по 18 центов за одного активного пользователя). Такие теневые компании утверждают, что магазины Apple и Google не имеют ничего против их библиотек. Собственно, это одна из хитрых уловок для создания ботнетов. К сожалению, есть и другие.
Одна из таких компаний делает предложение разработчику плагина для браузера (источник)
В последствии компании продают доступ к этим, как я считаю, заражённым приложениям для выполнения команд, которые могут быть как раз теми атаками SASL/SMTP, которые я наблюдаю. Естественно, эти компании утверждают, что не делают ничего противозаконного, а контролировать весь трафик своих клиентов физически не могут.
Такие ботнеты довольно умны. Обладая ресурсом в десятки тысяч обычно резидентных или мобильных IP-адресов, они ежедневно используют каждый из них ровно для одной попытки авторизоваться на почтовом сервере или установить SMTP-соединение. Благодаря этому, они остаются незамеченными большинством механизмов защиты вроде fail2ban, которые принимают решение о блокировке конкретного IP-адреса на основе числа совершённых им попыток.
За счёт распределения попыток взлома по всем доступным IP-адресам ботнеты могут довольно эффективно производить мощные атаки. Хотя большинство сисадминов обычно воспринимают эти попытки как шум. Но не я 😊
Я просто с ходу блокирую их, причём надолго. В базе блокировки моего фаервола уже накопилось 50К адресов. Кстати, из них 98% — это IPv4. IPv6 по-прежнему встречается редко 😊
Эти адреса относятся к разным точкам мира. Мне не раз советовали начать вычислять наиболее часто эксплуатируемые ASN (autonomous system number, номер автономной системы) и блокировать весь сегмент, а не отдельные IP. Я рассмотрел такую возможность, но…
Я взял IP-адреса, с которых совершались попытки взломать авторизацию SASL в течение последних 7 дней, и сопоставил их с соответствующими ASN. Получилось довольно обширное распределение, где на один ASN в среднем приходилось меньше 4 адресов.
Итак, в среднем меньше 4 IP на ASN, так что блокировка по номеру не особо поможет. Поэтому я продолжаю использовать простое решение. Установленная на моём сервере задача cron проверяет журналы на предмет атак, используя скрипт оболочки, и каждое утро присылает мне письмо с командами скопировать/вставить для добавления этих гадких живностей в список фаервола.
Я предпочитаю делать именно так. Конечно, эту часть можно и автоматизировать. Но мне хочется знать, что происходит с моим скромным сервером, а тут, просто глядя на длину содержимого присылаемых системой писем, я понимаю, когда началась очередная волна.
Для тех, кому интересно поэкспериментировать, я открыл доступ к собранным данным в этой таблице, которую вы можете экспортировать в CSV. С целью немного анонимизировать атакующие адреса, я скрыл их последний сегмент под NNN.
Web-среда глубоко испорчена
Думаю, все слышали о растущей проблеме сети, заключающейся в том, что разработчики ИИ агрессивно собирают любые доступные данные для обучения своих моделей. Это вызвало взрывное развитие веб-краулеров, отчаянно штурмующих серверы от мала до велика. Но кто управляет этими краулерами? Оказывается, это можете быть вы!
Итак, вернёмся к нашей теме теневого рынка, где разработчикам под iOS, Android, MacOS и Windows платят за включение в их приложения библиотеки, которая продаёт часть пропускной способности сети пользователя. Одним из примеров таких компаний является Infatica1, но есть и много других.
Я на 99% уверен, что эти компании из-за использования ИИ-краулеров, с которыми многие вебмастеры сталкиваются уже несколько месяцев, по сути, провоцируют DDoS-атаки. Такая бизнес-модель просто не должна существовать. Apple, Microsoft и Google нужно как-то на это реагировать.
Перевод
Как работает монетизация?
Мы подключаем IP-адреса ваших пользователей к нашей p2b-сети, которая позволяет компаниям получать доступ к веб-данным и создавать платформы агрегации цен на товары, оптимизировать механизмы поиска, вырабатывать маркетинговые стратегии и стратегии защиты брендов, реализовывать академические исследования, создавать устойчивые и производительные сервисы, обеспечивать защиту корпоративных данных и прочее.
Мы подключаем IP-адреса ваших пользователей к нашей p2b-сети, которая позволяет компаниям получать доступ к веб-данным и создавать платформы агрегации цен на товары, оптимизировать механизмы поиска, вырабатывать маркетинговые стратегии и стратегии защиты брендов, реализовывать академические исследования, создавать устойчивые и производительные сервисы, обеспечивать защиту корпоративных данных и прочее.
Впоследствии эти компании продают своим клиентам доступ к сети посредством устройств, на которых установлено их ПО2. Они с гордостью заявляют, что вы можете расширить охват своих механизмов (ИИ)-скрейпинга и не только посредством миллионов меняющихся резидентных и мобильных IP-адресов — как раз тот паттерн, который мы наблюдаем в атаках на наши серверы.
Их много
Опять же, эта компания — лишь одна из многих продавцов аналогичных сервисов. И они все заверяют, что тщательно проверяют, какие команды их клиенты отправляют в «заражённые» приложения на вашем телефоне или ПК. Да, уверен, ничего плохого они не делают. А когда делают, то могут заявить, что это не их проблема, так как они просто посредники. Опять же, на мой взгляд, это теневая бизнес-модель.
Агентство Trend Micro в 2023 году провело исследование этих компаний, которое подтвердило мои подозрения. А с применением ИИ-скрейпинга такой бизнес наверняка процветает ещё активнее.
«Существуют злоумышленники, которые пересобирают свободное и условно бесплатное ПО, написанное другими людьми, для попутного скачивания P2B-сервиса Infatica».3
Но лично я считаю, что это также объясняет скачок активности ботов, которые вредят множеству мелких сервисов (вроде моего экземпляра forgejo, который я был вынужден сделать закрытым).
Поэтому если вы, как разработчик ПО, включите подобный сторонний SDK в своё приложение, чтобы заработать немного денег, то станете частью общей проблемы, и, на мой взгляд, должны отвечать за отправку вашим пользователям вредоносных программ, делающих их участниками ботнета.
К сожалению, для обычных пользователей почти невозможно обнаружить включение подобных теневых SDK и их сетевой трафик. Да и для администраторов (небольших) серверов это тоже весьма нелегко.
Я уже писал об этом в феврале 2025, но решил поделиться новой информацией по теме. Думаю, буду писать и дальше.
Убедитесь сами!
Если вы хотите увидеть реальную грязь, загляните на https://proxyway.com/reviews?e-filter-da2a7bc-reviews_categories=proxy-providers, где приводится множество обзоров этих сервисов. Это огромный рынок, на котором ИИ-скрейпинг однозначно выступает самым мощным стимулом роста подобных компаний.
И когда я вижу, что многие из них не брезгают внедрением SDK в сторонние приложения для «расширения» своего «охвата» и заполнения пулов адресов «резидентными прокси», то могу обвинить такие компании в распространении вредоносов и создании ботнетов. Но это лишь моё личное мнение. Уверен, фактически они законны.
Первая из трёх страниц обзоров провайдеров «резидентных прокси»
Мои выводы
Сейчас я считаю, что любая форма веб-скрейпинга должна рассматриваться как абьюзивное поведение, и серверы должны их все блокировать. Если вы считаете, что используемый вами скрейпинг является допустимым, то можете поблагодарить такие теневые компании и хайп вокруг «ИИ» за то, что они завели вас в этот порочный угол.
Спасибо за ваше время и интерес. Надеюсь, мне удалось показать, почему веб-краулеры стали реальной проблемой, и как эта атака всё сильнее рушит истинные стандарты веб-среды в том виде, в каком она предполагалась. Этот бизнес с «резидентными прокси» является лишь частью большой картины. Мы же, как вебмастеры и админы, можем лишь стараться блокировать подобные действия. Вот только поспевать за этими волнами становится всё труднее. Похоже, впору благодарить «ИИ»?
▍ Сноски
- https://infatica.io/sdk-monetization/ ↩
- https://infatica.io/pricing/ ↩
- https://www.trendmicro.com/vinfo/ae/security/news/vulnerabilities-and-exploits/a-closer-exploration-of-residential-proxies-and-captcha-breaking-services ↩
Telegram-канал со скидками, розыгрышами призов и новостями IT 💻
