Эксперты компании Sadbottrue обнаружили три ботнета из учетных записей Twitter, остававшихся незамеченными администрацией сервиса в течение двух лет. Крупнейший из них насчитывает 3 млн. аккаунтов, остальные два – по 100 тыс. каждый. По мнению исследователей, операторы ботнетов зарабатывают на продаже и сдаче в аренду фолловеров в Twitter.
Продажа подписчиков в Twitter является очень прибыльным бизнесом. Отдельные пользователи готовы заплатить кругленькую сумму за привлечение внимания к собственной персоне, а компании за счет купленных подписчиков создают видимость известных и надежных. Как правило, сервисы по “накрутке” фолловеров используют сети из нескольких сотен ботов, и трехмиллионный ботнет – это нечто из ряда вон выходящее. Поскольку одновременное появление такого количества новых пользователей сразу же вызывает подозрения у сотрудников Twitter, незаметно зарегистрировать миллионы учетных записей невозможно. Однако, как сообщают эксперты Sadbottrue, все произошло именно так. 3 млн учетных записей были созданы в один день, 17 апреля 2014 г. – около 35,4 регистраций в секунду.
Создателям ботнета даже удалось синхронизировать имена пользователей с Twitter ID. Поскольку Twitter ID привязывается к учетной записи после регистрации учетной записи, злоумышленники наверняка сделали несколько пробных тестов. Исследовав Twitter ID до и после появления ботов, эксперты обнаружили, что кто-то “зарезервировал” свыше 168 млн. идентификаторов еще 22 октября 2013 г.
Имена пользователей учетных записей, входящих в трехмиллионный ботнет, выглядят как @sfa_200xxxxxxx, где xxxxxxx – это числа от 0 000 000 до 2 999 999. Все имена пользователей совпадают с Twitter ID, то есть идентификатором для @sfa_2001234567 является 2001234567. Учетные записи также выглядят одинаково – вместо названия профиля стоит “name”, указана одна и та же дата регистрации, а вместо описания в профиле написано “some kinda description”.
Все аккаунты скрыты настройками приватности, поэтому увидеть публикуемые ими твиты и тех, на кого они подписаны, невозможно. В общей сложности боты опубликовали 2,6 млн. твитов, содержание которых узнать нельзя. По мнению экспертов, злоумышленники используют ботнет как C&C-инфраструктуру и через твиты отправляют команды. Размещенный в Twitter C&C-сервер впервые стали использовать злоумышленники, стоявшие за вредоносным ПО HAMMERTOSS.
Один из ботнетов поменьше состоит из учетных записей с именами между @cas_2050000000 и @cas_2050099999, зарегистрированных 3-5 марта 2015 г. Во второй входят аккаунты от @wt_2050100000 до @wt_2050199999, зарегистрированные между 23 октября и 22 ноября 2014 г. (Sadbottrue/NovostIT)
