- 19,951
- 44
- 8 Ноя 2022
Армия умных чайников воюет за деньги китайских вымогателей.
Федеральные агенты задержали 22-летнего жителя США Итана Дж. Фольца, которого считают оператором и совладельцем Rapper Bot — распределённой сети заражённых IoT-устройств , использовавшейся как сервис для запуска DDoS-атак. По данным Минюста США, именно эта инфраструктура 10 марта 2025 года вызвала перебои в работе X*. Следствие утверждает, что Фольц и его анонимный напарник под псевдонимом Slaykings сдавали мощности «в аренду» вымогателям, среди которых выделялись группы, атакующие китайские онлайн-казино.
Арест состоялся 6 августа 2025 года. Поводом для участия ведомственного следствия стала серия ударов по адресам, подконтрольным Министерству обороны США. В материалах говорится, что волны трафика, генерируемые Rapper Bot, стабильно превышали 2 ТБит/с, а пиковые значения доходили до 6 и более — объёмы, с которыми справится лишь ограниченный круг особо укреплённых площадок. По оценке правительства, типичная цель в обычном дата-центре оказывалась перегруженной сотни раз сверх проектной ёмкости.
Следы управления привели оперативников к одному из серверов в Аризоне. Запрос провайдеру хостинга показал: аккаунт оплачивался через PayPal . Дальнейшие юридические процедуры с платёжным сервисом вывели на Gmail Фольца и использованные им IP-адреса. Запрос Google раскрыл поисковую активность: подозреваемый регулярно мониторил публикации о Rapper Bot и конкурирующих сервисах « DDoS-по-заказу ». Во время обыска Фольц признал разработку и эксплуатацию инфраструктуры, сообщил о 50/50 разделе доходов со Slaykings и передал расшифровки переписки в Telegram.
Скриншоты админ-панели Rapper Bot приветствовали клиентов фразой «Welcome to the Ball Pit, Now with refrigerator support» — прозрачный намёк на то, что в «армии» встречались даже умные холодильники. По оценке правительства накануне ареста под контролем находилось около 65 000 устройств по всему миру. При этом подозреваемые принципиально избегали попыток побить рекорды: они придерживались тактики «Goldilocks» — удерживали размер «не слишком большим и не слишком маленьким», чтобы мощность оставалась достаточной, управление — посильным, а шум — минимальным. Ещё один слой маскировки — регулярное стирание пользовательских и атакующих логов примерно раз в неделю.
Наличие жёстких «правил игры» подтверждает и клиентская политика. Большинству заказчиков разрешали бить по целям не дольше 60 секунд — чтобы не провоцировать длительные расследования и публикации. Для отдельных платёжеспособных клиентов делались исключения — позволяли более объёмные и продолжительные серии. Именно сочетание высокой амплитуды и короткой длительности делало удары болезненными и одновременно снижало медиавнимание к источнику.
Переписка Фольца со Slaykings показывает, насколько внимательно они относились к риску огласки. В частных диалогах они обсуждали майскую атаку на KrebsOnSecurity мощностью 6,3 Тбит/с — на тот момент крупнейшую волну, которую приходилось гасить Google ( проект Project Shield прикрывает новостные и правозащитные ресурсы). Организаторы Rapper Bot считали показательными ошибки конкурентов и прямо запрещали клиентам трогать сайт Брайана Кребса, называя такие выходки «детскими» и бессмысленными: «получите массу проблем и ноль денег». На фоне этой шумной истории они отмечали, что чужая инфраструктура сдувается, тогда как их собственная база заражений растёт.
Контекст конкурентной борьбы описан и через фигуру «Forky» — 21-летнего бразильца Каике Саутьер Лейте, управлявшего IoT-сетью Aisuru и публично провоцировавшего исследователей. По наблюдениям следствия, в тот период интенсивность и «масса» его ресурса пошли на спад, тогда как заражения Rapper Bot прибавляли. В чатах Slaykings подчёркивал, что внимание «Кребса» — не то, чего стоит добиваться, не из-за страха, а из-за неотвратимости последствий: «он не отстанет, пока ты не будешь добит».
Несмотря на регулярное «подчищение хвостов», агентам удалось собрать статистику по оставшимся данным: с апреля 2025-го до начала августа зафиксировано свыше 370 000 пусков по 18 000 уникальных целей в пределах тысячи сетей. Больше всего пострадавших числилось в Китае, Японии, США, Ирландии и Гонконге. Петерсон отдельно описывает экономику таких ударов: если представить, что жертва оплачивает входящий и исходящий трафик и использует балансировщики, то даже 30-секундная волна на уровне более 2 Тбит/с может потянуть от $500 до $10 000 только по счётчикам передачи данных — без учёта простоя и сопутствующих издержек. При этом альтернатива в виде «перестраховочной» инженерии — сверхрезервирование каналов и закупка специализированной защиты — для многих компаний оказывается неподъёмной. В такой ловушке угрозы «заплатите X, и атаки прекратятся» звучат особенно цинично.
Техническая линия происхождения кода указывает на заимствование из fBot , также известного как Satori. В 2020 году в Северной Ирландии предъявляли обвинение 20-летнему Аарону «Vamp» Стерритту, которого США продолжают добиваться к экстрадиции. Сам fBot — производное от Mirai , источники которого утекли в открытый доступ ещё в 2016-м и до сих пор служат основой для многочисленных IoT-сборок . Таким образом, Rapper Bot стоит в длинной цепочке наследников, но отличается тем, как была выстроена коммерческая и операционная дисциплина.
За несколько часов до обыска Фольц, судя по сообщениям, радовался находке: он обнаружил 32 000 новых узлов, уязвимых из-за ранее не описанной бреши. В тот же период партнёры обсуждали «лучший день» по доходам: суммы в $800, затем $1000 и выше «капали» в режиме реального времени.
Интерес к «невидимости» проявлялся у партнеров и в выборе целей. Они подчёркивали бессмысленность «саморекламы» через атаки на крупных исследователей и СМИ, предпочитая зарабатывать на «рабочих» заказах с минимальным шумом. Поэтому неудивительно, что в перечне наиболее частых покупателей фигурируют схемы, тесно связанные с вымогательством у интернет-бизнесов, включая азартные площадки в КНР .
Официально Фольцу инкриминируют содействие компьютерным вторжениям. Максимальная планка наказания по указанной статье — до 10 лет лишения свободы, однако для первого приговора суд, как правило, назначает существенно меньший срок: это будет зависеть от итоговой квалификации эпизодов, доказанности сговора и суммы ущерба.
На уровне деталей эта история — учебник по эволюции криминального «DDoS-for-Hire»: от «витрины» с шутливым баннером и холодильниками в составе «армии» — до прагматики, в которой жёсткие лимиты, регулярная «санитария» логов и отказ от шумных «демонстраций» позволяют зарабатывать месяцами, не попадая в сводки. Именно поэтому, констатирует следствие, даже 65 000 машин — не про рекорды, а про управляемость, гибкость и минимизацию рисков для операторов, пока у них «лучший день» и счета пухнут от новых платежей. Теперь же «невидимость» закончилась: признания, логи чатов и цепочка платежей составили основу обвинения, а Rapper Bot из хорошо настроенного инструмента вымогателей превратился в вещественное доказательство.
<span style="font-size: 7pt;">* Социальная сеть запрещена на территории Российской Федерации.</span>
Федеральные агенты задержали 22-летнего жителя США Итана Дж. Фольца, которого считают оператором и совладельцем Rapper Bot — распределённой сети заражённых IoT-устройств , использовавшейся как сервис для запуска DDoS-атак. По данным Минюста США, именно эта инфраструктура 10 марта 2025 года вызвала перебои в работе X*. Следствие утверждает, что Фольц и его анонимный напарник под псевдонимом Slaykings сдавали мощности «в аренду» вымогателям, среди которых выделялись группы, атакующие китайские онлайн-казино.
Арест состоялся 6 августа 2025 года. Поводом для участия ведомственного следствия стала серия ударов по адресам, подконтрольным Министерству обороны США. В материалах говорится, что волны трафика, генерируемые Rapper Bot, стабильно превышали 2 ТБит/с, а пиковые значения доходили до 6 и более — объёмы, с которыми справится лишь ограниченный круг особо укреплённых площадок. По оценке правительства, типичная цель в обычном дата-центре оказывалась перегруженной сотни раз сверх проектной ёмкости.
Следы управления привели оперативников к одному из серверов в Аризоне. Запрос провайдеру хостинга показал: аккаунт оплачивался через PayPal . Дальнейшие юридические процедуры с платёжным сервисом вывели на Gmail Фольца и использованные им IP-адреса. Запрос Google раскрыл поисковую активность: подозреваемый регулярно мониторил публикации о Rapper Bot и конкурирующих сервисах « DDoS-по-заказу ». Во время обыска Фольц признал разработку и эксплуатацию инфраструктуры, сообщил о 50/50 разделе доходов со Slaykings и передал расшифровки переписки в Telegram.
Скриншоты админ-панели Rapper Bot приветствовали клиентов фразой «Welcome to the Ball Pit, Now with refrigerator support» — прозрачный намёк на то, что в «армии» встречались даже умные холодильники. По оценке правительства накануне ареста под контролем находилось около 65 000 устройств по всему миру. При этом подозреваемые принципиально избегали попыток побить рекорды: они придерживались тактики «Goldilocks» — удерживали размер «не слишком большим и не слишком маленьким», чтобы мощность оставалась достаточной, управление — посильным, а шум — минимальным. Ещё один слой маскировки — регулярное стирание пользовательских и атакующих логов примерно раз в неделю.
Наличие жёстких «правил игры» подтверждает и клиентская политика. Большинству заказчиков разрешали бить по целям не дольше 60 секунд — чтобы не провоцировать длительные расследования и публикации. Для отдельных платёжеспособных клиентов делались исключения — позволяли более объёмные и продолжительные серии. Именно сочетание высокой амплитуды и короткой длительности делало удары болезненными и одновременно снижало медиавнимание к источнику.
Переписка Фольца со Slaykings показывает, насколько внимательно они относились к риску огласки. В частных диалогах они обсуждали майскую атаку на KrebsOnSecurity мощностью 6,3 Тбит/с — на тот момент крупнейшую волну, которую приходилось гасить Google ( проект Project Shield прикрывает новостные и правозащитные ресурсы). Организаторы Rapper Bot считали показательными ошибки конкурентов и прямо запрещали клиентам трогать сайт Брайана Кребса, называя такие выходки «детскими» и бессмысленными: «получите массу проблем и ноль денег». На фоне этой шумной истории они отмечали, что чужая инфраструктура сдувается, тогда как их собственная база заражений растёт.
Контекст конкурентной борьбы описан и через фигуру «Forky» — 21-летнего бразильца Каике Саутьер Лейте, управлявшего IoT-сетью Aisuru и публично провоцировавшего исследователей. По наблюдениям следствия, в тот период интенсивность и «масса» его ресурса пошли на спад, тогда как заражения Rapper Bot прибавляли. В чатах Slaykings подчёркивал, что внимание «Кребса» — не то, чего стоит добиваться, не из-за страха, а из-за неотвратимости последствий: «он не отстанет, пока ты не будешь добит».
Несмотря на регулярное «подчищение хвостов», агентам удалось собрать статистику по оставшимся данным: с апреля 2025-го до начала августа зафиксировано свыше 370 000 пусков по 18 000 уникальных целей в пределах тысячи сетей. Больше всего пострадавших числилось в Китае, Японии, США, Ирландии и Гонконге. Петерсон отдельно описывает экономику таких ударов: если представить, что жертва оплачивает входящий и исходящий трафик и использует балансировщики, то даже 30-секундная волна на уровне более 2 Тбит/с может потянуть от $500 до $10 000 только по счётчикам передачи данных — без учёта простоя и сопутствующих издержек. При этом альтернатива в виде «перестраховочной» инженерии — сверхрезервирование каналов и закупка специализированной защиты — для многих компаний оказывается неподъёмной. В такой ловушке угрозы «заплатите X, и атаки прекратятся» звучат особенно цинично.
Техническая линия происхождения кода указывает на заимствование из fBot , также известного как Satori. В 2020 году в Северной Ирландии предъявляли обвинение 20-летнему Аарону «Vamp» Стерритту, которого США продолжают добиваться к экстрадиции. Сам fBot — производное от Mirai , источники которого утекли в открытый доступ ещё в 2016-м и до сих пор служат основой для многочисленных IoT-сборок . Таким образом, Rapper Bot стоит в длинной цепочке наследников, но отличается тем, как была выстроена коммерческая и операционная дисциплина.
За несколько часов до обыска Фольц, судя по сообщениям, радовался находке: он обнаружил 32 000 новых узлов, уязвимых из-за ранее не описанной бреши. В тот же период партнёры обсуждали «лучший день» по доходам: суммы в $800, затем $1000 и выше «капали» в режиме реального времени.
Интерес к «невидимости» проявлялся у партнеров и в выборе целей. Они подчёркивали бессмысленность «саморекламы» через атаки на крупных исследователей и СМИ, предпочитая зарабатывать на «рабочих» заказах с минимальным шумом. Поэтому неудивительно, что в перечне наиболее частых покупателей фигурируют схемы, тесно связанные с вымогательством у интернет-бизнесов, включая азартные площадки в КНР .
Официально Фольцу инкриминируют содействие компьютерным вторжениям. Максимальная планка наказания по указанной статье — до 10 лет лишения свободы, однако для первого приговора суд, как правило, назначает существенно меньший срок: это будет зависеть от итоговой квалификации эпизодов, доказанности сговора и суммы ущерба.
На уровне деталей эта история — учебник по эволюции криминального «DDoS-for-Hire»: от «витрины» с шутливым баннером и холодильниками в составе «армии» — до прагматики, в которой жёсткие лимиты, регулярная «санитария» логов и отказ от шумных «демонстраций» позволяют зарабатывать месяцами, не попадая в сводки. Именно поэтому, констатирует следствие, даже 65 000 машин — не про рекорды, а про управляемость, гибкость и минимизацию рисков для операторов, пока у них «лучший день» и счета пухнут от новых платежей. Теперь же «невидимость» закончилась: признания, логи чатов и цепочка платежей составили основу обвинения, а Rapper Bot из хорошо настроенного инструмента вымогателей превратился в вещественное доказательство.
<span style="font-size: 7pt;">* Социальная сеть запрещена на территории Российской Федерации.</span>
- Источник новости
- www.securitylab.ru
