The Enablers Registry·Editorial mirror·/ru/keitaro-tds-exposed
Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.
Механизм маскировки, стоящий за каждым мошенничеством, которое вы никогда не замечали. THE ENABLERS REGISTRY просканировал более 50 000 сайтов, обнаружил 1 565 административных панелей [REDACTED] TDS и не нашел ни одного легитимного случая использования. Каждая из этих панелей была связана с криптовалютным мошенничеством, фишингом, распространением вредоносного ПО или чем-то ещё хуже. Среди клиентов — EvilCorp, программа-вымогатель LockBit и VexTrio. Теперь доступны набор инструментов для обнаружения с открытым исходным кодом, 7-ступенчатая методология и полный CSV-файл с данными о панелях.
[REDACTED] TDS — это коммерческая система распределения трафика, продаваемая компанией «Аплитени» ОУ, компания, зарегистрированная в Эстония. На первый взгляд, он позиционируется как инструмент управления трафиком для партнеров по аффилиатскому маркетингу. На деле же это самый широко используемый механизм маскировки в глобальной экосистеме мошенничества.
«Клоакинг» — это искусство показывать разным посетителям разный контент. Когда исследователь в области безопасности, специалист по проверке рекламы или сотрудник правоохранительных органов заходит на URL-адрес, [REDACTED] распознает их и выдает чистую, «безобидную» страницу. Когда же настоящая жертва заходит на тот же URL, она перенаправляется на криптовалютные мошеннические сайты, фишинговые страницы, страницы для загрузки вредоносного ПО или мошеннические сайты электронной коммерции. Жертва никогда не видит «чистую» версию страницы. Аналитик никогда не видит мошенничества.
Цены у Кейтаро варьируются от От 40 до 400 евро в месяц, позиционируя её как инфраструктуру для борьбы с мошенничеством корпоративного уровня. Она хранит данные о посетителях в течение периода до 9,75 лет, предоставляя операторам обширный набор данных, включающий отпечатки пальцев жертв, географические данные и поведенческие профили. Все эти данные хранятся на Инфраструктура AWS, а это означает, что Amazon, сама того не подозревая, обеспечивает серверную инфраструктуру для тысяч мошеннических операций.
Подставная компания
«Аплитени» ОУ работает из Эстонии, используя преимущества программы «э-резиденства» этой страны и благоприятного законодательства в области корпоративной конфиденциальности. Компания поддерживает видимость легитимности за счет профессионального маркетинга, документации и службы поддержки клиентов — при этом каждое зафиксированное внедрение их продукта связано с преступной деятельностью. Они взимают плату в размере 40–400 евро в месяц за то, что по сути является платформой «мошенничество как услуга» с хранением данных на протяжении почти десяти лет.
Цифры: 1 565 панелей, ни одной законной
Исследование THE ENABLERS REGISTRY началось с простой гипотезы: если у [REDACTED] TDS есть законные области применения, мы должны обнаружить их в широком масштабе. Мы провели сканирование Более 50 000 сайтов используя сочетание автоматизированных инструментов и ручной проверки, уделяя особое внимание поиску «отпечатков» [REDACTED] TDS. Наши выводы были однозначными.
1 565 активных панелей администратора [REDACTED] были обнаружены. Мы проанализировали каждый из них. Результат: нулевое количество легитимных развертываний. Ни одна из панелей не использовалась для законного партнерского маркетинга, A/B-тестирования или каких-либо других безобидных целей. Каждая панель — 100 % — была связана с преступной деятельностью.
1,565
Активные панели
100%
Доля вредоносных сообщений
50K+
Просканированные сайты
9,75 лет
Максимальный срок хранения данных
Разбивка по категориям злоупотреблений
1 565 панелей были распределены по шести основным категориям злоупотреблений. Многие панели обслуживали сразу несколько категорий, используя систему маршрутизации трафика [REDACTED] для направления жертв к различным типам мошенничества в зависимости от географического положения, типа устройства или времени суток.
Категория злоупотреблений
Описание
Криптовалютные мошенничества
Поддельные инвестиционные платформы, программы для опустошения кошельков, мошеннические страницы для pig butchering
Фишинг
Сбор учетных данных для банков, почтовых сервисов и социальных сетей
Распространение вредоносного ПО
Доставка загрузчика, подготовка к запуску программы-вымогателя, «drive-by»-загрузки
Мошенничество с целью завоевания доверия, целевые страницы для сексуального шантажа, фальшивые профили
Мошенничество в сфере азартных игр
Нелицензированные казино, подтасованные платформы для ставок, кража депозитов
Примечание по методологии
Каждая панель перед классификацией проверялась с помощью как минимум двух независимых методов обнаружения. Ложные срабатывания проверялись вручную и исключались. Цифра 1 565 отражает только подтвержденные активные установки [REDACTED] — реальное количество развертываний, включая те, что находятся за дополнительными уровнями защиты, безусловно, выше.
Перечень клиентов по уголовным делам
Система [REDACTED] TDS используется не только мелкими мошенниками. Это предпочтительная инфраструктура для маскировки, которой пользуются некоторые из самых опасных киберпреступных организаций в мире. Вот список подтвержденных клиентов:
EvilCorp
Российский киберпреступный синдикат, в отношении которого введены санкции, использует [REDACTED] для обхода международных санкций. Маскируя свою деятельность под трафиком, проходящим через [REDACTED], компания EvilCorp обходит те самые меры безопасности, которые призваны положить конец её деятельности. Каждый клик, проходящий через [REDACTED], является нарушением санкций, которое становится возможным благодаря программному обеспечению компании Apliteni OU.
Программа-вымогатель LockBit
Группа разработчиков программы-вымогателя LockBit использовала [REDACTED] для распространения вредоносного ПО, прибегая к его возможностям маскировки, чтобы гарантировать, что полезные нагрузки программы-вымогателя попадали только к реальным целям, в то время как в песочницах систем безопасности и исследователям отображался безобидный контент. [REDACTED] стал фактором, значительно усиливающим эффективность одной из самых разрушительных операций с использованием программ-вымогателей в истории.
VexTrio
Крупнейший из известных клиентов [REDACTED]. Компания VexTrio работает с Более 60 партнёров и элементы управления 86 832+ доменов, причём весь трафик проходит через механизм распространения [REDACTED]. Эта единственная операция обеспечивает значительную долю вредоносного рекламного трафика в Интернете, а [REDACTED] является той опорой, которая позволяет ей оставаться незаметной.
ClearFake
ClearFake встраивает на взломанные сайты поддельные запросы на обновление браузера, распространяя вредоносное ПО, когда жертвы нажимают кнопку «Обновить». Технология маскировки [REDACTED] гарантирует, что вредоносный оверлей видят только реальные посетители, а сканеры безопасности — исходный, «чистый» сайт. Результат: распространение вредоносного ПО с практически нулевым уровнем обнаружения.
FakeBat
FakeBat — это загрузчик вредоносного ПО, распространяемый посредством вредоносных рекламных кампаний. [REDACTED] направляет рекламный трафик через механизм принятия решений: пользователи, использующие средства защиты, перенаправляются на страницы загрузки легального программного обеспечения, в то время как реальным пользователям предлагаются троянские установщики. [REDACTED] делает вредоносные рекламные кампании FakeBat практически незаметными для служб безопасности рекламных платформ.
Двойник
Российская дезинформационная кампания, связанная с государством, в рамках которой используется программа «Кейтаро» для распространения пропаганды в западных социальных сетях. Благодаря географической и устройственной идентификации «Кейтаро» модераторы контента и специалисты по проверке фактов видят иной контент, чем целевая аудитория. Информационная война, осуществляемая с помощью коммерческого эстонского программного обеспечения.
«Мы обнаружили следы деятельности [REDACTED] во всех крупных киберпреступных операциях, которые мы расследовали за последние 18 месяцев. Это не совпадение — это отраслевой стандарт для преступников».
В ходе данного расследования компания THE ENABLERS REGISTRY разработала семь независимых методов выявления случаев развертывания [REDACTED] TDS. Каждый из этих методов нацелен на отдельный «отпечаток», который оставляет [REDACTED], и в совокупности они образуют комплексную систему обнаружения, которая теперь доступна в виде инструментария с открытым исходным кодом.
1. /click_api/v3 Конечная точка
Основной конечный пункт API [REDACTED] для обработки событий кликов. Этот путь жестко запрограммирован в программном обеспечении и присутствует в каждой установке. Проверка наличия этого конечного пункта — самый быстрый способ подтвердить наличие [REDACTED] в системе. Ответ с кодом 200 или 302 по этому пути практически наверняка свидетельствует о наличии [REDACTED].
2. _lp / _token / _subid Параметры URL
[REDACTED] добавляет к URL-адресам специальные параметры отслеживания во время цепочек перенаправлений. _lp параметр определяет целевую страницу, _token обеспечивает аутентификацию на уровне сеанса, и _subid отслеживает источники субпартнеров. Эти параметры являются уникальными для [REDACTED] и редко встречаются в легитимных системах управления трафиком.
3. Печенье, посвящённое Кэйтаро
[REDACTED] устанавливает специальные файлы cookie для отслеживания сеансов посетителей и поддержания состояния маскировки. Эти файлы cookie имеют имена, не соответствующие стандартным конвенциям, принятым на аналитических платформах, что позволяет их идентифицировать с помощью инструментов просмотра браузера или автоматического анализа файлов cookie.
4. Шаблоны заголовков ответов
Ответы сервера Кейтаро содержат характерные шаблоны HTTP-заголовков, в том числе определённые директивы `Cache-Control`, пользовательские заголовки и строки идентификации сервера, которые отличаются от стандартных веб-серверов. Эти заголовки сохраняются даже в тех случаях, когда операторы пытаются настроить свои установки.
5. Цепочки перенаправлений в JavaScript
[REDACTED] использует многоступенчатые перенаправления в JavaScript для анализа «отпечатков» посетителей, прежде чем принять решение о том, показывать ли мошенническую страницу или безопасную. Эти цепочки перенаправлений следуют предсказуемым шаблонам — с использованием определённых имён переменных, последовательностей действий и логики оценки — которые можно выявить с помощью статического и динамического анализа JavaScript.
Глобальная тепловая карта: по всему миру обнаружено 1 565 панелей [REDACTED] TDS, законных случаев использования не выявлено
6. Анализ шаблонов доменов
Операторы [REDACTED], как правило, регистрируют домены в соответствии с предсказуемыми конвенциями именования и схемами регистрации. Анализ больших массивов доменов выявляет кластеры доменов с похожими данными WHOIS, датами регистрации, настройками серверов имен и хостинг-провайдерами — все это указывает на скоординированные развертывания [REDACTED].
7. Идентификация по отпечаткам пальцев в панели администратора
Доступ к панелям администрирования [REDACTED] осуществляется по известным адресам, при этом они возвращают характерные HTML-структуры, имена классов CSS и файлы JavaScript. Даже если администраторы изменяют URL-адрес входа по умолчанию, интерфейсная часть панели оставляет идентифицируемые следы, которые можно обнаружить с помощью перебора адресов и анализа отпечатков контента.
Многоуровневая защита
Ни один метод обнаружения не является абсолютно надежным. Опытные злоумышленники могут отключить или изменить отдельные «отпечатки». Именно поэтому 7-ступенчатая методология работает как многоуровневая система — даже если злоумышленник устранит три или четыре «сигнатуры», оставшиеся методы все равно выявят установку. В ходе наших испытаний каждая панель [REDACTED] была обнаружена как минимум четырьмя из семи методов.
Карта глобальной инфраструктуры
1 565 панелей [REDACTED] распределены по глобальной хостинговой инфраструктуре, в которой предпочтение отдается недорогим провайдерам VPS и юрисдикциям с длительным временем реагирования на сообщения о злоупотреблениях. Вот где расположены эти панели:
Регион
Провайдеры хостинга
Примечания
Соединенные Штаты
DigitalOcean, Vultr
Наибольшая концентрация серверов. Хостинг, расположенный в США, обеспечивает быстрое время отклика для пользователей из Северной Америки.
Нидерланды
Различные VPS
Популярно для рекламных кампаний, ориентированных на европейский рынок. Либеральная политика хостинга.
Германия
Hetzner, различные
Крупный центр операций по фишингу и мошенничеству в сфере электронной коммерции, направленных на страны ЕС.
Россия
Различные виды бронезащиты
База для многих операторов. Хостинг-провайдеры, не принимающие мер по борьбе со злоупотреблениями.
Великобритания
Различные облака
Используется для атак на финансовые учреждения и государственные службы Великобритании.
Гонконг
Кластер «Фемо»
Отдельный кластер сайтов, связанных с криптовалютными мошенничествами, направленными на азиатскую аудиторию. «Кластер Femo» действует как скоординированная группа.
Доминирование США
В Соединенных Штатах сосредоточено наибольшее количество панелей [REDACTED], в основном на платформах DigitalOcean и Vultr. Это крупные облачные провайдеры, которые обрабатывают сообщения о злоупотреблениях, однако из-за огромного количества развертываний и высокой скорости, с которой операторы запускают новые инстансы, команды по борьбе со злоупотреблениями постоянно вынуждены бежать за событиями.
Кластер «Фемо»
Отдельный кластер панелей [REDACTED], работающий на базе инфраструктуры в Гонконге и нацеленный на азиатские рынки с целью проведения криптовалютных мошенничеств и мошенничества в сфере азартных игр. «Кластер Femo» демонстрирует скоординированные схемы развертывания, что указывает на наличие единого оператора или организованной группы, одновременно управляющей десятками панелей.
Бэкенд AWS
Независимо от того, где размещены интерфейсные панели, основное хранилище данных [REDACTED] работает на Amazon Web Services (AWS). Это означает, что на инфраструктуре Amazon хранятся идентификационные данные посетителей, журналы перенаправлений и данные о таргетировании, касающиеся, возможно, миллионов жертв мошенничества. Учитывая срок хранения данных до 9,75 лет, AWS является хостинг-провайдером одной из крупнейших существующих баз данных жертв мошенничества.
Выпущены инструменты с открытым исходным кодом
Параллельно с этим исследованием THE ENABLERS REGISTRY выпускает полный набор инструментов для обнаружения с открытым исходным кодом. Все инструменты бесплатны, не требуют API-ключей и готовы к немедленному использованию. В комплект входит полный набор данных, включающий 1 565 панелей.
Все инструменты, данные и доказательства опубликованы по адресу enablers.report/ScamIntelLogs/[REDACTED]/. Репозиторий является общедоступным и будет пополняться по мере обнаружения новых панелей. Приветствуются вклады со стороны сообщества и предложения по дополнительным методам обнаружения.
Выявление, сообщение, ликвидация
Как мы обнаружили панели [REDACTED] TDS — методология идентификации по «отпечаткам» Трафик [REDACTED] TDS — как вредоносные панели перенаправляют жертв
[REDACTED] TDS — это невидимая инфраструктура, которая поддерживает деятельность мошенников. Каждая панель, о которой вы сообщаете, каждое обнаружение, которое вы делаете, и каждый набор данных, которым вы делитесь, помогают разрушить эту экосистему. Используйте инструменты. Делитесь данными. Сообщайте о том, что обнаруживаете.