схеме занимается организацией работы центра управления, предоставляя партнерам либо отдельные интерфейсы, либо разграниченный доступ к единому общему интерфейсу центра управления. Каждый партнер получает свой индивидуально сконфигурированный экземпляр вредоносной программы, самостоятельно (или опять же при помощи ботнетчика) занимается ее распространением, а затем уже работает со своими личными ботами. Начинающему партнеру ботнетчик может предложить доступ и к определенному количеству реальных ботов. По такому образцу в 2010–2011 гг. действовал ботнет Origami на основе вредоносной программы, классифицируемой как HodProt. На едином сервере было одновременно запущено более 10 однотипных интерфейсов административных панелей, доступ к которым имели разнообразные заливщики и группы заливщиков. Размер оплаты за пользование ботнетом зависел от объемов совершаемых хищений.

С точки зрения отдельного заливщика, подобный вариант работы с ботнетом представляется оптимальным. Однако он менее интересен ботнетчику, так как контроль за работой заливщика с отдельными зараженными компьютерами затруднен по объективным техническим причинам и, соответственно, не может быть проверен объем совершаемых хищений. Если ботнетчик начинает подозревать заливщика-партнера в утаивании денежных средств либо в проведении непредусмотренных операций с ботами, он может лишить заливщика доступа. В то же время и сам ботнетчик может совершать в отношении заливщика-партнера нечестные действия, например тайно работать с его ботами для совершения хищений, забирать ботов в другие ботнеты, собирать и продавать без участия заливщиков получаемую с ботов информацию (аккаунты социальных сетей, почтовых программ, реквизиты доступа к FTP и др.). В результате работа по партнерской схеме часто становится для заливщиков и ботнетчиков источником постоянных взаимных подозрений и конфликтов, а их отношения оказываются менее устойчивыми, чем в преступных группах постоянного состава.

Продолжим рассматривать процесс организации преступной деятельности. Когда организатором (или организаторами) приобретена вредоносная программа, оплачен абузоустойчивый хостинг и налажен центр управления ботнетом, начинается этап распространения вредоносной программы и систематической работы с ботами. Для распространения необходимы трафик и связки эксплойтов. И то и другое поставляют специализирующиеся на этом участники криминального рынка товаров, о чем было сказано в предыдущей главе.

Стоимость трафика зависит, как уже было отмечено, от его тематики и различных показателей качества. Так называемый мусорный трафик стоит от $5 до 20 за 1000 единиц, а профильный банковский и коммерческий трафик может стоить гораздо больше: вплоть до $150–200 за 1000 единиц. Аренда связки эксплойтов с полноценной технической поддержкой, а также регулярной сменой доменных имен обходится в среднем в $500-3000 в месяц.

После того как оплачена связка, налажено поступление трафика и вредоносная программа начинает «прогружаться», в интерфейсе центра управления ботнетом появляются боты. Благополучно установившаяся на целевом компьютере или устройстве программа передает на командный сервер по сети первое сообщение, в котором содержатся сведения о зараженном устройстве. В дальнейшем бот постоянно передает подобные сообщения, называемые на жаргоне отстуком. Регулярно отстукивающиеся боты называют живыми. В интерфейсе центров управления ботнетами боты обычно представляются в виде списков, по которым можно производить выборки и поиск. Для каждого отдельного бота ведется накопление данных, необходимых для работы с ним и совершения хищений.

Количество поступающих ботов зависит от количества отгружаемого на связку трафика, процента пробива связки эксплойтов и, наконец, от качества самой троянской программы и текущего уровня ее выявления антивирусными программами. Дальнейшее время жизни ботов зависит также от ряда факторов: эффективности антивирусных программ, действий владельца компьютера и др.

Очевидно, что далеко не каждый зараженный вредоносной программой компьютер или мобильное устройство используется для работы с ЭСП, тем более именно тех систем, для которых предназначен установленный банковский троян. Задача трояна – найти ЭСП (программы типа «толстый клиент», агентские приложения для приема платежей или работы в системах переводов и т. п.), отследить факты обращений к платежным веб-сайтам, найти на компьютере или устройстве следы таких обращений (лог-файлы, ключи, сертификаты и пр.). После того как бот их обнаруживает, он в установленном формате сообщает об этом («отстукивается» определенным образом) в центр управления. На профессиональном жаргоне бот, у которого обнаружились ЭСП или признаки их использования, называется ботом с логами.

Именно бот с логами является главной ценностью. С ним начинает работать заливщик. Объем и характер действий заливщика зависят от типа ЭСП, обнаруженного у бота, наличия на счете денежных средств, возможностей используемой вредоносной программы. В любом случае поступившая от бота информация вначале внимательно изучается. При необходимости боту дается команда на загрузку дополнительных вредоносных программ, модулей или настроек.

Если речь идет о компьютере, используемом для работы с какой-либо системой ДБО, то заливщик, как правило, лично внимательно его изучает. Для этого устанавливается скрытое подключение по протоколу удаленного управления. Существует несколько способов организации такого подключения при помощи штатных средств операционных систем (например, по протоколу RDP (Remote Desktop Protocol) операционных систем Microsoft) или дополнительных вредоносных программ, так называемых бэкдоров. Часто они сделаны на основе модифицированных коммерческих программ (Team Viewer, Virtual Network Computing (VNC), Ammy и др.). Необходимый для такого подключения функционал уже содержится в составе банковских троянов либо для этого на бот устанавливается дополнительный модуль или дополнительная троянская программа-бэкдор, у которой может быть свой собственный центр управления. Заливщик никогда не устанавливает соединение с ботом напрямую со своего сетевого адреса. Для сокрытия адреса используются различные технические решения (об этом будет сказано далее).

Установив такое соединение, заливщик фактически дистанционно использует зараженный компьютер: изучает имеющиеся ЭСП, документацию, касающуюся их использования (если таковая имеется), просматривает архив операций по счетам, анализирует закономерности движения денежных средств, стандартные размеры и формулировки назначения платежей. При правильном применении средств удаленного администрирования этот факт остается незаметным для пользователя компьютера даже при работе одновременно с заливщиком. Однако сбои или недостатки в работе удаленного управления иногда происходят, и тогда пользователь может заметить появление новых неизвестных учетных записей, запуск программ, явное замедление работы компьютера или, например, странные движения курсора по экрану.

При работе заливщика с некоторыми простыми платежными инструментами (например, электронными кошельками операторов по переводу электронных денежных средств, имеющими простую защиту) либо при использовании троянских программ с функционалом автозалива удаленное подключение к ботам не требуется. В первом случае для совершения хищения достаточно тех аутентификационных данных, которые копирует троянская программа на компьютере или устройстве потерпевшего и которые доступны в центре управления ботнетом. Во втором случае заливщик изучает параметры бота и состояние счета по сведениям, накопленным в центре управления. Там же производится настройка автозалива и автоподмены. Эти функции вредоносной программы позволяют произвести перевод денежных средств с использованием имеющегося у бота ЭСП в автоматическом режиме. В зависимости от возможностей вредоносной программы либо платеж совершает сама программа, либо при совершении платежа легальным пользователем незаметно для него подменяется назначение платежа. Чаще всего автозалив используется банковскими троянами для мобильных