В федеральном суде Восточного округа Нью-Йорка в Бруклине возбуждено дело против шестерых россиян и двух граждан Казахстана, обвиняющихся в мошенническом получении платы за размещение рекламных объявлений на фальшивых вебсайтах, где они не просматривались живыми пользователями.
По словам прокуроров, обманутые кибераферистами компании заплатили им в общей сложности 36 млн. долларов.
Две мошеннические схемы, которые обвиняемые проворачивали на протяжении нескольких лет и которые американская пресса называет «грандиозными», были раскрыты в ходе операции под кодовым названием Emersion, проводившейся ФБР, министерством внутренней безопасности США и группой частных киберкомпаний, таких, как Symantec.
Расследование завязалось, по крайней мере, в начале 2017 года и включало санкционированный судом взлом почтовых аккаунтов подозреваемых. Судебные документы в результате включают много цитат из их переписки, наскоро переведенных с русского.
По делу привлечены россияне Александр Жуков, которому 38 лет, Борис Тимохин, 39 лет, Михаил Андреев, имеющий также гражданство Украины, 34 года, Денис Авдеев, 40 лет, Дмитрий Новиков (возраст неизвестен) и Александр Исаев, 31 год и 30-летние казахстанцы Сергей Овсянников и Евгений Тимченко.
Следователь ФБР Эвелина Асланян подала секретное прошение о выдаче ордеров на их арест еще 31 июля с.г. В октябре Овсянников был задержан в Малайзии, Жуков в ноябре был арестован в Болгарии, а Тимченко — в Эстонии. Они дожидаются экстрадиции в США. Остальные обвиняемые объявлены в розыск. Одна из инкриминируемых обвиняемым схем якобы осуществлялась с сентября 2014 по декабрь 2016 года Жуковым, Тимохиным, Андреевым, Авдеевым и Новиковым с помощью Овсянникова. По словам следователя Асланян, они представлялись рекламодателям сотрудниками рекламной сети Mediamethane и «использовали контролируемые ими компьютеры для создания иллюзии, что реальный пользователь Интернета просматривает рекламу на реальной веб-странице, тогда как в действительности компьютер загружал рекламу на фиктивную веб-страницу при помощи автоматизированной программы».
Судебные документы называют Жукова главой Mediamethane, а Тимохина — его партнером и техническим руководителем. Авдеев и Новиков отвечали за логистическую и техническую поддержку схемы.
Согласно обвинительному заключению, фигуранты использовали более 1900 серверов, арендованных ими в центре обработки данных в Далласе.
20 декабря 2016 года нью-йоркская компания, специализирующаяся на кибербезопасности, выпустила доклад под названием «Операция Метбот». В судебных документах имя этой компании не называется, но речь явно идет о White Ops. Доклад содержал описание вышеуказанной схемы и IP-адреса задействованных в ней компьютеров.
Просле публикации доклада обвиняемые принялись заметать следы, говорится в 33-страничном обвинительном заключении. Они стерли всю переписку со своей онланй-платформы и более 26 тысяч имейлов — с почтового аккаунта, упоминавшегося в докладе. Тимохин также стер более 96 тысяч имейлов со своего аккаунта, в которых детально обсуждалась преступная схема и содержались 15 500 IP-адресов, в ней использовавшихся.
В июле 2017 года крупная американская технологическая компания, среди прочего предоставляющая клиентам рекламные услуги, связалась с правоохранительными органами и сообщила, что у нее имеются данные, которые подтверждают информацию доклада «Операция Метбот», в том числе IP- адреса компьютеров, явно задействованных в имитации Интернет-траффика и имеющих одну и ту же подпись.
По словам следователя Асланян, этой компании пришлось возместить рекламодателям более 7 млн. долларов, заплаченных ими за рекламные объявления, которых, как оказалось, не видел ни один живой человек.
Следствие справилось с публичной регистратурой IP-адресов и так вышло на Жукова, Тимохина, Андреева и Авдеева. 10 марта 2017 года бруклинский федеральный судья-магистрат выдал ФБР ордер на обыск почтового аккаунта Жукова, а впоследствии и его сообщников.
В почте Жукова и Тимохина следователи обнаружили счета за аренду сотен серверов в Далласе, а также документацию и переписку, из которых следовало, что Жуков и его сообщники арендовали тысячи IP-адресов у лизинговых компаний. Например, 25 апреля 2016 года Жуков написал Тимохину, что он разом арендовал более 131 тысячи адресов. По данным следствия, заговорщики переписывались по поводу разработки специальных программ, которые будут давать серверам команды имитировать поведение людей, читающих рекламные объявления или просматривающих видеоролики. Рекламодатели платят за число кликов или просмотров видео и проверяют, в естественном ли темпе ставятся клики и достаточно ли долго длятся просмотры видеорекламы.
28 декабря 2014 года Жуков посетовал в переписке, что их компьютеры кликают слишком часто, и написал: «Михаил Андреев установил 10 кликов в день на каждый IP. Однако в течение часа он уже загрузил 300 кликов. Наверное, баг. Должно быть всего около 50-60 кликов в час».
28 октября 2014 года Новиков распорядился в имейле, чтобы Тимохин «изучил, как сделать движения мыши и прокрутку более реалистичными». Он также написал, что «на видео надо кликнуть и просматривать его 60-90 секунд».
По словам следователя Асланян, эти манипуляции ставили целью ввести в заблуждение системы безопасности рекламодателей и рекламных компаний, которые следят за тем, чтобы баннеры читались живыми пользователями, а не машинами.
В большинстве случаев фигурантам удавалось провести эти системы или «фильтры», как они называли их в переписке. «Блестяще!» — похвалил Жуков Тимохина 16 октября 2016 года после того как фильтры одной известной киберкомпании не смогли вывести их на чистую воду.
5 сентября 2017 года следователи скачали с публичного файлообменника вывешенный одним компьютерным комментатором файл (git на кибержаргоне), который содержал программный код обвиняемых, управляющий автоматизированным браузером и дающий ему команды кликнуть на рекламу, подвигать курсором, прокрутить текст на экране, просмотреть видео и симулировать нахождение на «Фейсбуке». Git также содержал многочисленные ссылки на адреса Тимохина и Андреева.
Перехваченная следствием переписка показала, что в 2016 году фигуранты следили за исправной работой тысяч компьютеров, отслеживали миллионы рекламных объявлений и вели записи своих доходов, составлявших тысячи долларов в час. Например, на протяжении 24 часов с 14 по 15 октября 2016 года их ожидаемый доход составил 52 253 доллара.
Другая схема действовала между декабрем 2015 года и октябрем 2018-го. Управление ею инкриминируется Овсяннникову, Тимченко и Исаеву. В отличие от жуковского «Метбота» с его фермой арендованных техасских серверов, в этой схеме были задействованы в основном два сервера и огромный ботнет, то есть сеть инфицированных злокозненной программой компьютеров, чьи законные владельцы не имели понятия о том, что их устройства выполняют команды посторонних лиц.
В специальной литературе эта схема называется «Зve». Если, по выкладкам прокуроров, первая схема принесла обвиняемым 7 млн. долларов, то барыши от этой достигали 29 млн. Овсянников и его коллеги говорили, что представляют рекламную компанию Adzos, зарегистрированную под корпоративным именем Octmedia.
Как заявила суду следователь Асланян, между 27 февраля и 13 июня 2018 года два сервера, контролировавшихся обвиняемыми, связались примерно 5,5 млрд. раз с приблизительно 1,7 млн. IP-адресов, принадлежавших инфицированным зловредной программой Kovter компьютерам по всему миру. Хозяевами этих комьютеров были частные граждане и компании в США и других странах.
Пользуясь своими командно-контрольными серверами, обвиняемые якобы загружали в эти компьютеры сфабрикованные веб-страницы и размещали на них рекламу, которую живые пользователи никогда не видели, но которая приносила фигурантам миллионы долларов от рекламодателей.
Вслед за арестом Овсянникова в Куала-Лумпуре правоохранители и частные киберкомпании приступили к демонтажу инфраструктуры, обслуживавшей схему «3ve». Заручившись ордерами бруклинского суда, ФБР взяло под контроль 23 домена, которые использовали злоумышленники, и изъяли информацию из 89 серверов.
В рамках того же расследования ФБР наткнулось на еще одну киберкриминальную инфраструктуру, обеспечивавшую аферы с цифровой рекламой посредством серверов, которые находились в Германии, и ботнета компьютеров в США, зараженных зловредной программой Boaxxe. ФБР взяло под контроль восемь доменов, использовавшихся в этой схеме.
Наконец, США захватили несколько банковских счетов в Швейцарии и других странах, связанных с указанными аферами.
В Чехии у Octmedia имелся счет, на который между декабрем 2016 и маем 2017 года поступило приблизительно полтора миллиона долларов за размещение рекламы на веб-сайтах. Впоследствии эти деньги были переведены Овсянникову и Исаеву.
У Жукова тоже имелся в Чехии корпоративный счет, с которого оплачивались серверы и IP-адреса, использовавшиеся в афере. Он перевел с него 5,4 млн. долларов на корпоративный счет в Новой Зеландии.