Le FBI démantèle un gigantesque système de fraude publicitaire

fraude publicitaireLe FBI, Google et 20 partenaires du secteur de la technologie ont collaboré pour stopper un réseau cybercriminel. Celui ci œuvrait à la génération de fausses vues et de clics utilisés pour frauder des réseaux publicitaires et des annonceurs depuis quatre ans et générer des millions de revenus illicites.

Outre une intervention coordonnée visant à éliminer plusieurs botnet utilisé par le groupe, le ministère de la Justice américain a également annoncé la mise en accusation de 13 suspects à l’origine de cette opération, dont trois sont déjà arrêtés et attendent d’être extradés vers les États-Unis.

Le schéma de fraude publicitaire 3ve

Selon une inculpation du ministère de la justice américain et un livre blanc publié par Google et la firme de cybersécurité White Ops, les huit suspects seraient les principaux exploitants d’un stratagème frauduleux de publicité. Le secteur de la cybersécurité et de la publicité surveillent celui-ci depuis l’an dernier sous le nom de code « 3ve » et qui serait actif depuis au moins 2014. Les enquêteurs ont déclaré qu’au fil du temps, les trois opérateurs ont utilisé différents systèmes pour générer des vues d’annonces et des clics.

Ils ont eu recours à de nombreuses astuces : la location d’autres botnets pour la cybercriminalité, la création de leurs propres botnets hébergés sur des centres de données commerciaux, le piratage de blocs d’adresses IP, l’utilisation de serveurs proxy pour masquer les vraies adresses IP, et même la création de leurs propres sites Web sur lesquels ils ont affiché des annonces, pour s’assurer que les robots puissent cliquer dessus. Sur la base d’observations ou de pratiques antérieures, Google et ses partenaires du secteur ont organisé les opérations de 3ve en trois sous-groupes, chacun ayant ses propres caractéristiques.

Le premier de ce schéma, 3ve.1, a déjà été détaillé dans des rapports antérieurs, bien que lors de sa découverte, il n’était pas encore perçu comme faisant partie d’une opération plus vaste. Initialement identifiée sous le nom de MethBot (terme WhiteOps) dans les premiers rapports, mais également sous le nom de botnets Miuref (terme Symantec) ou Boaxxe (terme ESET), l’opération 3ve.1 était alimentée par un réseau de bots, fonctionnant dans plusieurs centre de données aux États-Unis et en Europe.

Ces robots étaient de simples scripts exécutés sur des serveurs de centre de données, ouvrant des milliers de navigateurs Web automatisés utilisant un serveur proxy pour dissimuler l’adresse IP du serveur, puis chargeant le site Web souhaité.

Dans le schéma 3ve.1, les escrocs gagnaient de l’argent en exploitant de faux réseaux publicitaires qui recevaient des paiements d’autres réseaux publicitaires ou d’annonceurs lorsqu’ils affichaient des publicités sur de vrais sites Web.

Selon le FBI, le groupe 3ve a utilisé plus de 1 900 serveurs hébergés dans des centres de données commerciaux pour héberger les bots MethBot / Miuref / Boaxxe qui chargeaient l’un des 5 000 sites Web contrefaits, puis cliquaient sur les annonces des annonceurs, générant des bénéfices pour le gang 3ve.

Les robots ont été configurés pour imiter à la fois le trafic Dekstop et mobile, et dans certains cas, ils ont également cliqué sur de vraies annonces pour usurper le trafic d’utilisateurs réels et générer encore plus de revenus pour le gang 3ve.

Les enquêteurs ont déclaré que lorsque les réseaux publicitaires ont commencé à détecter la campagne du groupe, le sous-groupe 3ve.1 a commencé à détourner des blocs d’adresses IP professionnels et résidentiels. Ils les ont temporairement attribués à leurs serveurs de centre de données et mandataires pour masquer leurs opérations.

Mais lorsque les réseaux de publicité ont commencé à mettre en liste noire les adresses IP associées aux opérations 3ve.1, les escrocs ont également diversifié leur système en louant un « espace d’installation » offert par les opérateurs du botnet de malware Kovter. Les enquêteurs ont déclaré que le groupe 3ve avait déployé un bot personnalisé sur plus de 700 000 ordinateurs infectés par le programme malveillant Kovter.

Ce malware ouvrait des fenêtres de navigateur cachées pour charger des sites Web exploités par le gang 3ve, générant des profits similaires au sous-groupe 3ve.1, mais utilisant des PC infectés par des logiciels malveillants au lieu de machines hébergés dans un datacenter.

Le troisième schéma était presque identique au premier, avec deux différences principales. La première était que les escrocs utilisaient un nombre beaucoup plus réduit de machines dans un centre de données, et deuxièmement, trois opérateurs louaient d’autres serveurs de centre de données à des fins de proxy au lieu de détourner les adresses IP des réseaux résidentiels. « Bien que plus facile à détecter, cette approche leur a permis de commettre des fraudes publicitaires plus efficacement. Les centres de données peuvent offrir une bande passante supérieure à des centaines de milliers d’ordinateurs résidentiels », a déclaré Google dans son rapport.

Dans un article publié aujourd’hui sur son blog, Google a révélé qu’il avait pris connaissance de l’ensemble des capacités et des opérations de 3ve l’année dernière. Au fil de ses enquêtes, il a également appris que d’autres plateformes de publicité et entreprises de cybersécurité envisageaient une opération similaire. Google a annoncé la création d’un groupe de travail avec plusieurs partenaires du secteur afin de coordonner le retrait de l’ensemble du réseau de 3ve.

Certains des acteurs les plus importants du secteur de la publicité et de l’informatique ont été invités, tels que Microsoft, ESET, Symantec, Proofpoint, Trend Micro, F-Secure, Malwarebytes, CenturyLink, MediaMath, White Ops, Amazon, Adobe, Trade Desk, Oath, The Shadowserver Foundation , et l’Alliance nationale d’inforensique et de formation.

Inculpations, arrestations et démantelement de 3ve

Les forces de l’ordre ont également été invitées à participer à l’effort, ce qui a conduit à l’acte d’accusation du ministère de la justice aujourd’hui, désignant six ressortissants russes et deux ressortissants du Kazakhstan comme principaux opérateurs.

Les noms de ces huit premiers suspects sont Aleksandr Zhukov (38 ans, Russie), Boris Timokhin (39 ans, Russie), Mikhail Andreev (34 ans, Russie), Denis Avdeev (40 ans, Russie), Dmitry Novikov (??, Russie), Sergey Ovsyannikov (30 ans, Kazakhstan), Aleksandr Isaev (31 ans, Russie) et Yevgeniy Timchenko (30 ans, Kazakhstan).

Trois ont déjà été appréhendés à la demande des États-Unis. Zhukov a été arrêté plus tôt ce mois-ci en Bulgarie, à Timchenko en Estonie et à Ovsyannikov en Malaisie (le mois dernier).Selon les responsables américains, les autres accusés sont en fuite et des mandats d’arrêt internationaux ont été émis à leur nom.

Outre les arrestations, le FBI a également obtenu des mandats de saisie autorisant ses enquêteurs à prendre le contrôle de 31 domaines Internet et de 89 serveurs utilisés pour gérer l’infrastructure 3Ve.

Selon un tableau partagé aujourd’hui par Google, l’impact des demandes de placement publicitaire frauduleuses a immédiatement diminué lorsque le FBI et d’autres sociétés de cybersécurité ont commencé à mettre en liste noire et à affaiblir l’infrastructure 3ve.

Selon Google, à son apogée, l’opération 3ve a généré plus de trois milliards de demandes d’enchères quotidiennes frauduleuses, utilisé plus de 60 000 comptes vendant des inventaires d’annonces frauduleuses, exploité plus de 10 000 sites Web contrefaits dans le seul but de diffuser des annonces, géré plus de 1 000 serveurs de centre de données et contrôlé plus d’un million d’adresses IP pour cacher les différents robots.

Bien que Google n’ait pas publié de chiffre officiel, les dommages financiers causés aux annonceurs se chiffreraient à des millions de dollars américains.

Retrouvez cet article sur Zdnet