Archive LiveRead-only public record · No ads · No tracking
CASE / UK / KEITARO TDS EXPOSED
«[REDACTED] TDS» розкрито: розподіл трафіку
The Enablers Registry·Editorial mirror·/uk/keitaro-tds-exposed
Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.
Механізм маскування, що стоїть за кожним шахрайством, якого ви ніколи не бачили. THE ENABLERS REGISTRY просканував понад 50 000 сайтів, виявив 1 565 адміністративних панелей [REDACTED] TDS і не знайшов жодного легітимного використання. Кожна з цих панелей була пов’язана з криптовалютним шахрайством, фішингом, розповсюдженням шкідливого ПЗ або чимось ще гіршим. Серед клієнтів — EvilCorp, програмне забезпечення для вимагання викупу LockBit та VexTrio. Наразі оприлюднено набір інструментів для виявлення з відкритим кодом, 7-крокову методологію та повний CSV-файл з даними про панелі.
[REDACTED] TDS — це комерційна система розподілу трафіку, яку реалізує «Аплітені» ОУ, компанія, зареєстрована в Естонія. На перший погляд, ця система позиціонує себе як інструмент управління трафіком для партнерських маркетологів. Насправді ж це найпоширеніший механізм маскування в глобальній екосистемі шахрайства.
«Клокінг» — це мистецтво показувати різний контент різним відвідувачам. Коли дослідник у сфері безпеки, експерт з перевірки реклами або співробітник правоохоронних органів заходить на певну URL-адресу, [REDACTED] ідентифікує їх і показує чисту, «невинну» сторінку. Коли ж справжня жертва заходить на той самий URL-адресу, її перенаправляють на криптошахрайські сайти, фішингові сторінки, сторінки для завантаження шкідливого програмного забезпечення або шахрайські сайти електронної комерції. Жертва ніколи не бачить «чисту» версію. Аналітик ніколи не бачить шахрайства.
Ціни у «Кейтаро» варіюються від від 40 до 400 євро на місяць, позиціонуючи її як інфраструктуру для боротьби з шахрайством корпоративного рівня. Вона зберігає дані відвідувачів протягом періоду до 9,75 років, надаючи операторам величезний масив даних, що містить відбитки пальців жертв, географічні дані та профілі поведінки. Усі ці дані зберігаються на Інфраструктура AWS, тобто Amazon, сам того не усвідомлюючи, забезпечує серверну інфраструктуру для тисяч шахрайських операцій.
Фіктивна компанія
«Аплітені» ОУ працює з Естонії, використовуючи програму «е-резиденства» цієї країни та сприятливе законодавство щодо конфіденційності корпоративних даних. Компанія підтримує видимість легітимності за допомогою професійного маркетингу, документації та служби підтримки клієнтів — хоча кожне зафіксоване використання їхнього продукту пов’язане зі злочинною діяльністю. Вони беруть плату в розмірі 40–400 євро на місяць за те, що фактично є платформою «шахрайство як послуга» із зберіганням даних протягом майже десяти років.
Цифри: 1 565 панелей, жодної дійсної
Дослідження THE ENABLERS REGISTRY розпочалося з простої гіпотези: якщо у [REDACTED] TDS є законні сфери застосування, ми маємо виявити їх у значних масштабах. Ми просканували Понад 50 000 сайтів застосовуючи поєднання автоматизованих інструментів та ручної перевірки, зосередившись саме на пошуку «відбитків» [REDACTED] TDS. Наші висновки були однозначними.
1 565 активних панелей адміністратора [REDACTED] були виявлені. Ми проаналізували кожну з них. Результат: нуль законних розгортань. Жодна з панелей не використовувалася для законного партнерського маркетингу, A/B-тестування чи будь-яких інших нешкідливих цілей. Кожна панель — 100% — була пов’язана зі злочинною діяльністю.
1,565
Активні панелі
100%
Рівень шкідливої активності
50 тис.+
Перевірені сайти
9,75 років
Максимальний термін зберігання даних
Розподіл за категоріями зловживань
1 565 панелей було розподілено між шістьма основними категоріями зловживань. Багато панелей обслуговували одразу кілька категорій, використовуючи систему маршрутизації трафіку [REDACTED] для перенаправлення жертв до різних типів шахрайства залежно від географічного розташування, пристрою або часу доби.
Категорія зловживань
Опис
Криптовалютні шахрайства
Фейкові інвестиційні платформи, програми для викачування коштів з гаманців, шахрайські цільові сторінки для pig butchering
Фішинг
Збір облікових даних банків, поштових сервісів та соціальних мереж
Поширення шкідливого програмного забезпечення
Доставка завантажувачів, підготовка до запуску програм-вимагачів, приховане завантаження
Романтичне шахрайство, цільові сторінки для сексторції, фейкові профілі
Шахрайство у сфері азартних ігор
Неліцензовані казино, фальсифіковані платформи для ставок, крадіжки коштів з депозитів
Методологічна примітка
Кожна панель перед класифікацією була перевірена щонайменше двома незалежними методами виявлення. Помилкові спрацьовування були перевірені вручну та виключені. Цифра 1 565 відображає лише підтверджені активні інсталяції [REDACTED] — реальна кількість розгортань, включаючи ті, що знаходяться за додатковими рівнями захисту, безперечно є більшою.
Перелік клієнтів у кримінальних справах
[REDACTED] TDS використовують не лише дрібні шахраї. Це інфраструктура для маскування, яку обирають деякі з найнебезпечніших кіберзлочинних організацій на планеті. Ось перелік задокументованих клієнтів:
EvilCorp
Російський кіберзлочинний синдикат, що перебуває під санкціями, використовує [REDACTED] для обходу міжнародних санкцій. Маскуючи свою діяльність під трафіком, що проходить через [REDACTED], компанія EvilCorp обходить ті самі заходи безпеки, які покликані її зупинити. Кожен клік, що проходить через [REDACTED], є порушенням санкцій, яке стає можливим завдяки програмному забезпеченню компанії Apliteni OU.
Програма-вимагач LockBit
Група хакерів LockBit використовувала [REDACTED] для розповсюдження шкідливого програмного забезпечення, застосовуючи його можливості маскування, щоб гарантувати, що лише справжні цілі отримували шкідливі навантаження, тоді як пісочниці систем безпеки та дослідники бачили нешкідливий вміст. [REDACTED] став фактором, що значно посилив ефективність однієї з найруйнівніших операцій із використанням програм-вимагачів в історії.
VexTrio
Найбільший відомий клієнт компанії «Кейтаро». Компанія «VexTrio» працює з Понад 60 партнерів та елементи керування 86 832+ доменів, і всі вони направляють трафік через механізм розповсюдження [REDACTED]. Ця єдина операція становить значну частину шкідливого рекламного трафіку в Інтернеті, а [REDACTED] є основою, яка забезпечує його прихованість.
ClearFake
ClearFake вставляє на зламані веб-сайти підроблені повідомлення про оновлення браузера, завантажуючи шкідливе програмне забезпечення, коли жертви натискають кнопку «Оновити». Технологія маскування [REDACTED] гарантує, що шкідливе накладне вікно бачать лише справжні відвідувачі, тоді як сканери безпеки бачать оригінальний, чистий веб-сайт. Результат: завантаження шкідливого програмного забезпечення з майже нульовим рівнем виявлення.
FakeBat
FakeBat — це завантажувач шкідливого програмного забезпечення, що поширюється через шкідливі рекламні кампанії. [REDACTED] направляє рекламний трафік через механізм прийняття рішень: засоби безпеки перенаправляються на легітимні сторінки завантаження програмного забезпечення, тоді як справжнім користувачам пропонуються інсталятори, заражені троянами. [REDACTED] робить рекламні кампанії FakeBat практично непомітними для команд з безпеки рекламних платформ.
Двійник
Російська дезінформаційна кампанія, пов’язана з державою, яка використовує [REDACTED] для поширення пропаганди в західних соціальних мережах. Географічні та пристройові відбитки [REDACTED] гарантують, що модератори контенту та фахівці з перевірки фактів бачать інший контент, ніж цільова аудиторія. Інформаційна війна, що ведеться за допомогою комерційного естонського програмного забезпечення.
«Ми виявили сліди діяльності «Кейтаро» у кожній великій операції з кіберзлочинності, яку розслідували за останні 18 місяців. Це не випадковість — це галузевий стандарт для злочинців».
У ході цього розслідування компанія THE ENABLERS REGISTRY розробила сім незалежних методів виявлення випадків розгортання [REDACTED] TDS. Кожен із цих методів спрямований на виявлення певного «відбитка», який залишає [REDACTED], і разом вони утворюють комплексну систему виявлення, яка тепер доступна у вигляді інструментарію з відкритим кодом.
1. /click_api/v3 Кінцева точка
Основна точка кінцевого API [REDACTED] для обробки подій кліків. Цей шлях жорстко запрограмований у програмному забезпеченні та присутній у кожній інсталяції. Перевірка наявності цієї точки кінцевого API — найшвидший спосіб підтвердити наявність розгортання [REDACTED]. Відповідь із кодом 200 або 302 за цим шляхом є майже стовідсотковим підтвердженням наявності [REDACTED].
2. _lp / _token / _subid Параметри URL-адреси
[REDACTED] додає до URL-адрес особливі параметри відстеження під час ланцюжків перенаправлень. Цей _lp параметр визначає цільову сторінку, _token забезпечує сесійну автентифікацію, а також _subid відстежує джерела субафіліатів. Ці параметри є унікальними для [REDACTED] і рідко зустрічаються в легітимних системах управління трафіком.
[REDACTED] встановлює особливі файли cookie для відстеження сеансів відвідувачів та збереження стану маскування. Ці файли cookie відповідають правилам іменування, що відрізняються від стандартних аналітичних платформ, завдяки чому їх можна ідентифікувати за допомогою перевірки браузера або автоматизованого аналізу файлів cookie.
4. Шаблони заголовків відповіді
Відповіді сервера [REDACTED] містять характерні шаблони HTTP-заголовків, зокрема певні директиви cache-control, власні заголовки та рядки ідентифікації сервера, які відрізняються від стандартних веб-серверів. Ці заголовки зберігаються навіть тоді, коли оператори намагаються налаштувати свої інсталяції.
5. Ланцюжки перенаправлень у JavaScript
[REDACTED] використовує багатоетапні перенаправлення JavaScript для аналізу «відбитків» відвідувачів, перш ніж прийняти рішення про те, чи показувати шахрайську сторінку, чи безпечну. Ці ланцюжки перенаправлень відповідають передбачуваним шаблонам — конкретним іменам змінних, послідовностям у часі та логіці оцінки — які можна виявити за допомогою статичного та динамічного аналізу JavaScript.
Карта поширення у світі: по всьому світу виявлено 1 565 панелей [REDACTED] TDS, легальних випадків використання не виявлено
6. Аналіз шаблонів доменів
Оператори [REDACTED], як правило, реєструють домени, дотримуючись передбачуваних правил іменування та схем реєстрації. Аналіз великих масивів доменів виявляє скупчення доменів зі схожими даними WHOIS, датами реєстрації, конфігураціями серверів імен та хостинг-провайдерами — і все це вказує на скоординовані розгортання [REDACTED].
7. Ідентифікація адміністративної панелі
Доступ до адміністративних панелей [REDACTED] здійснюється за відомими шляхами, і вони повертають характерні HTML-структури, імена CSS-класів та файли JavaScript. Навіть коли адміністратори змінюють URL-адресу входу за замовчуванням, фреймворк інтерфейсу панелі залишає ідентифікаційні сліди, які можна виявити за допомогою переліку шляхів та аналізу відбитків вмісту.
Багаторівневий захист
Жоден окремий метод виявлення не є безвідмовним. Досвідчені зловмисники можуть вимкнути або змінити окремі «відбитки пальців». Саме тому 7-пунктна методологія працює як багаторівнева система — навіть якщо зловмисник усуне три чи чотири «підписи», решта методів все одно виявлять розгортання. Під час наших випробувань кожна панель [REDACTED] була виявлена щонайменше чотирма з семи методів.
Карта світової інфраструктури
1 565 панелей [REDACTED] розміщені в глобальній інфраструктурі хостингу, яка віддає перевагу дешевим провайдерам VPS та юрисдикціям із повільним часом реагування на зловживання. Ось де розташовані ці панелі:
Регіон
Провайдери хостингу
Примітки
Сполучені Штати
DigitalOcean, Vultr
Найбільша кількість серверів. Хостинг, розташований у США, забезпечує швидкий час відгуку для користувачів із Північної Америки.
Нідерланди
Різні VPS
Популярний для кампаній, орієнтованих на європейський ринок. Ліберальна політика щодо хостингу.
Німеччина
Hetzner, різні
Основний Hub операцій з фішингу та шахрайства в сфері електронної комерції, спрямованих на країни ЄС.
Росія
Різні види куленепробивних
База для багатьох операторів. Хостинг-провайдери, які не вживають жодних заходів щодо боротьби зі зловживаннями.
Велика Британія
Різні хмари
Використовується для атак на фінансові установи та державні служби Великої Британії.
Гонконг
Кластер «Фемо»
Окремий кластер сайтів, пов’язаний із криптовалютними шахрайськими схемами, спрямованими на азіатських користувачів. «Кластер Femo» діє як злагоджена група.
Домінування США
У Сполучених Штатах зосереджена найбільша кількість панелей [REDACTED], переважно на платформах DigitalOcean та Vultr. Це провідні хмарні провайдери, які обробляють повідомлення про зловживання, — однак через великий обсяг розгортань та швидкість, з якою оператори запускають нові екземпляри, команди, що борються зі зловживаннями, постійно намагаються наздогнати ситуацію.
Кластер «Фемо»
Окремий кластер панелей [REDACTED], що функціонує на базі інфраструктури Гонконгу та націлений на азіатські ринки з метою здійснення криптовалютних шахрайств та шахрайства у сфері азартних ігор. «Кластер Femo» демонструє скоординовані схеми розгортання, що свідчить про наявність єдиного оператора або організованої групи, яка одночасно керує десятками панелей.
Бекенд AWS
Незалежно від того, де розміщені інтерфейсні панелі, основне сховище даних [REDACTED] працює на Amazon Web Services (AWS). Це означає, що на інфраструктурі Amazon зберігаються «відбитки» відвідувачів, журнали перенаправлень та дані про таргетинг, що стосуються, можливо, мільйонів жертв шахрайства. З огляду на термін зберігання даних, що становить до 9,75 років, AWS є хостинг-провайдером однієї з найбільших існуючих баз даних про жертв шахрайства.
Випущено інструменти з відкритим кодом
Паралельно з цим розслідуванням THE ENABLERS REGISTRY випускає повний набір інструментів для виявлення з відкритим кодом. Усі інструменти є безкоштовними, не потребують API-ключів і готові до негайного використання. До набору входить повний набір даних, що містить 1 565 панелей.
Усі інструменти, дані та докази опубліковано за адресою enablers.report/ScamIntelLogs/[REDACTED]/. Репозиторій є загальнодоступним і буде оновлюватися у міру виявлення нових панелей. Ми радо вітаємо внески від спільноти та додаткові методи виявлення.
Виявляти, повідомляти, ліквідувати
Як ми виявили панелі [REDACTED] TDS — методологія ідентифікації за «відбитками пальців» Трафік [REDACTED] TDS — як шкідливі панелі перенаправляють жертв
[REDACTED] TDS — це невидима інфраструктура, яка підтримує діяльність шахраїв. Кожна панель, про яку ви повідомляєте, кожне виявлення, яке ви робите, та кожен набір даних, яким ви ділитеся, допомагають зруйнувати цю екосистему. Користуйтеся інструментами. Діліться даними. Повідомляйте про те, що ви виявили.