Все онлайн-бизнесы нуждаются в стабильной и надёжной инфраструктуре. Самые продвинутые рекламные кампании, стратегии выхода на рынок и удержания клиентов теряют смысл, если сайт магазина систематически недоступен, а приём платежей работает через раз. Всё это справедливо и для киберпреступного бизнеса. В этом посте мы расскажем, как устроена хакерская инфраструктура и какими способами обеспечивается бесперебойная работа криминальных сервисов.
У каждой кибергруппировки свой специфический набор требований к сетевой инфраструктуре. Кому-то нужны временные серверы для подбора паролей, сетевого сканирования или рассылки фишинговых писем, другим требуется «пуленепробиваемый» хостинг, скрытый за цепочкой обратных прокси. Однако всё разнообразие сводится к нескольким типовым сценариям:
хостинг сайтов с нелегальным или сомнительным контентом,
хостинг управляющей инфраструктуры,
хостинг сервисных приложений и компонентов,
хостинг анонимайзеров, прямых и обратных прокси,
выделенные серверы для проведения сканирования и брутфорс-атак,
платформы для фишинга и рассылки спама.
Таким образом, криминальная сетевая инфраструктура в общем случае состоит из следующих областей:
услуги специального хостинга,
хостинг на базе скомпрометированных серверов,
услуги по обеспечению конфиденциальности и анонимности,
DNS-сервисы.
Рассмотрим эти компоненты подробнее и начнём с услуг специального хостинга.