Когда маркетолог видит в отчёте тысячи кликов с уникальных IP-адресов, реальных устройств и легитимных браузеров, он имеет все основания считать эту аудиторию настоящей. Именно на этом строится бизнес-модель ботнетов, которые ежегодно выкачивают из рекламной индустрии миллиарды долларов. В отличие от примитивных ботов, работающих с серверов дата-центров, ботнет использует устройства реальных пользователей — и это делает его трафик почти неотличимым от органического. В этой статье мы разберём, что представляет собой ботнет, как именно он используется для рекламного фрода, какие крупнейшие операции были раскрыты за последние годы и почему единственный надёжный способ детекции лежит на уровне сетевых отпечатков, а не JavaScript-проверок.
Что такое ботнет: архитектура и масштаб
Ботнет (от «robot» + «network») — это сеть заражённых устройств, объединённых под управлением единого командного сервера (C2, Command and Control). Заражённые устройства называются ботами или зомби. Владелец устройства, как правило, не подозревает о заражении: вредоносный код работает в фоне, не проявляя себя.
Какие устройства попадают в ботнет
Современные ботнеты включают не только персональные компьютеры. В сеть попадают:
- Десктопы и ноутбуки на Windows, macOS, Linux — классический вектор заражения через трояны, фишинговые вложения, поддельные установщики программ.
- Смартфоны и планшеты на Android — заражение происходит через вредоносные приложения, в том числе распространяемые через официальные магазины. iOS-устройства попадают в ботнеты значительно реже из-за ограничений платформы.
- IoT-устройства — роутеры, IP-камеры, умные телевизоры, Smart TV-приставки. Эти устройства часто работают с заводскими паролями и получают обновления безопасности крайне нерегулярно.
- CTV-устройства (Connected TV) — Smart TV и приставки, которые стали отдельным вектором атаки после роста рынка CTV-рекламы.
Масштаб проблемы
Крупнейшие ботнеты включают миллионы устройств. Ботнет 3ve на пике активности контролировал 1,7 миллиона заражённых компьютеров. PARETO охватывал около миллиона Android-устройств. По оценкам Juniper Research, потери рекламодателей от ботнет-фрода к 2028 году могут превысить 170 миллиардов долларов в год. Ассоциация национальных рекламодателей (ANA) и компания White Ops (ныне HUMAN) в своих исследованиях фиксировали, что в отдельных рекламных кампаниях доля бот-трафика достигала 37%.
Как устроен рекламный фрод через ботнет
Работа рекламного ботнета — это отлаженная цепочка, в которой каждое звено выполняет свою функцию.
Этап 1: Заражение устройств
Оператор ботнета распространяет вредоносное ПО через множество каналов: фишинговые рассылки с заражёнными вложениями, поддельные обновления Flash Player или кодеков, «бесплатные» программы со встроенным троянским кодом, заражённые мобильные приложения. Часто заражение идёт через цепочку посредников: один оператор специализируется на инсталляциях малвари и продаёт доступ к заражённым машинам другим группировкам.
Этап 2: Управление через C2-сервер
Заражённые устройства периодически обращаются к командному серверу за инструкциями. C2-сервер передаёт задания: список URL-адресов для перехода, расписание и интервалы кликов, паттерны поведения (время между действиями, скроллинг, движения курсора), целевые рекламные сети и форматы. Современные ботнеты используют многослойные архитектуры C2 с резервными каналами связи, шифрованием и DGA (Domain Generation Algorithm) для автоматической смены доменов командных серверов.
Этап 3: Генерация фальшивого трафика
По команде C2-сервера заражённое устройство открывает рекламные ссылки в фоновом режиме. Это может происходить через скрытое окно браузера, системный HTTP-клиент, встроенный WebView или невидимый iframe. Устройство загружает рекламные объявления, имитирует просмотры видео, кликает по баннерам. При этом для рекламной сети всё выглядит легитимно: запрос приходит с реального IP-адреса домашнего провайдера, с реального устройства, из реальной геолокации.
Этап 4: Монетизация
Оператор ботнета получает деньги несколькими способами. Он может напрямую зарегистрироваться как паблишер (владелец площадки) в рекламных сетях и гнать трафик на собственные сайты-пустышки. Может продавать трафик через посредников — так называемые трафик-биржи. Или может предоставлять ботнет как услугу (Botnet-as-a-Service), получая оплату за объём генерируемых кликов и показов.
Крупнейшие ботнеты для рекламного фрода
За последнее десятилетие были раскрыты несколько масштабных операций, которые наглядно демонстрируют индустриальный масштаб проблемы.
| Ботнет | Годы активности | Масштаб | Ущерб | Метод |
|---|---|---|---|---|
| Methbot / 3ve | 2016–2018 | 1,7 млн заражённых Windows-машин, 6000 подменённых доменов | $36 млн | Подмена доменов премиальных паблишеров, генерация фальшивых видеопросмотров |
| HyphBot | 2017 | 500 000+ уникальных IP-адресов, 34 000+ URL | $15+ млн (оценка) | Спуфинг премиальных площадок через поддельные ads.txt |
| DrainerBot | 2019 | Миллионы Android-устройств | Не раскрыт | Скрытый просмотр видеорекламы на мобильных, потребление до 10 ГБ трафика в месяц на устройство |
| PARETO | 2021 | 1 млн заражённых Android-устройств | Не раскрыт | Имитация CTV-устройств (Connected TV), подмена трафика Smart TV |
Methbot и 3ve: индустриальный масштаб
Операция Methbot, организованная Александром Жуковым (известным как «Король фрода»), стала одной из самых масштабных схем рекламного мошенничества в истории. Группировка арендовала более 1900 серверов в дата-центрах, но маскировала их трафик под обращения с более чем 650 000 домашних IP-адресов. Серверы запускали специально модифицированные браузеры, которые загружали рекламу на подставных сайтах, имитирующих премиальные площадки вроде ESPN, Vogue и Fortune.
Позднее операция эволюционировала в ботнет 3ve (читается «Eve»), который включал уже три взаимосвязанные схемы. Одна из них использовала 1,7 миллиона заражённых компьютеров реальных пользователей для генерации трафика. ФБР совместно с Google, White Ops и рядом ИБ-компаний провело масштабную операцию по ликвидации 3ve в 2018 году. Были арестованы восемь человек, изъяты серверы, а доменные имена C2-серверов перехвачены.
HyphBot: подмена премиальных площадок
HyphBot использовал более изощрённую схему монетизации. Вместо создания собственных сайтов-пустышек, операторы HyphBot подставляли URL-адреса реальных премиальных паблишеров в bid-запросах к программатик-платформам. Рекламодатель думал, что покупает показ на сайте крупного издания, а реклама на самом деле загружалась на невидимой странице заражённого устройства. Ботнет генерировал до 1,5 миллиарда запросов в день с более чем 500 тысяч уникальных IP-адресов.
DrainerBot: мобильный паразит
DrainerBot был обнаружен компанией Oracle Data Cloud в 2019 году. Этот ботнет распространялся через заражённые SDK, которые разработчики мобильных приложений интегрировали в свои продукты. После установки приложения вредоносный код начинал скрытно загружать и воспроизводить видеорекламу в фоновом режиме. Пользователь не видел ни рекламы, ни признаков активности, но устройство потребляло до 10 гигабайт мобильного трафика в месяц и стремительно теряло заряд батареи. Название «DrainerBot» отражает именно этот эффект — бот буквально высасывал ресурсы устройства.
PARETO: фрод в Connected TV
Ботнет PARETO, обнаруженный HUMAN (ex-White Ops) в 2021 году, представлял новое поколение фрода. Около миллиона заражённых Android-устройств имитировали поведение CTV-устройств: Smart TV, Roku, Amazon Fire TV Stick и Apple TV. Поскольку CTV-реклама стоит значительно дороже мобильной и десктопной, подмена типа устройства позволяла многократно увеличить доход. PARETO генерировал около 650 миллионов bid-запросов в день, подменяя трафик более чем 6000 CTV-приложений.
Почему ботнеты так сложно обнаружить
Главное преимущество ботнета перед серверными ботами — использование инфраструктуры реальных пользователей. Это нивелирует большинство классических методов детекции.
Реальные IP-адреса
Трафик идёт с IP-адресов домашних провайдеров, мобильных операторов, корпоративных сетей. Блокировка по IP невозможна без ущерба для реальных пользователей. Базы данных дата-центровых IP-адресов бесполезны, потому что трафик действительно резидентный.
Реальные устройства и ОС
Заражённое устройство — это настоящий Windows-ноутбук или Android-смартфон с легитимным User-Agent, реальным разрешением экрана, установленными шрифтами и полным набором браузерных API. JavaScript-проверки, которые выявляют headless-браузеры (отсутствие WebGL, нестандартные свойства navigator), здесь не работают.
Реальные браузерные движки
Если бот использует встроенный браузер устройства (Chrome на Android, Edge на Windows), то canvas fingerprint, WebGL fingerprint и AudioContext fingerprint будут абсолютно легитимными. Бот не эмулирует браузер — он использует настоящий.
Смешанный трафик
На одном и том же устройстве работает и реальный пользователь, и бот. Это означает, что сессии легитимного пользователя и фальшивые клики идут с одного IP, одного устройства, часто даже из одного браузера. Простое правило «один подозрительный клик — блокируем устройство» приведёт к массовым ложным срабатываниям.
Слабые места ботнета: что выдаёт автоматизацию
При всей изощрённости ботнетов, автоматизированный трафик имеет характерные отличия от действий живого человека.
Поведенческие аномалии
Бот не обладает реальным намерением (user intent). Он не ищет товар, не сравнивает цены, не читает описания. Его сессия — это переход по ссылке, загрузка страницы, клик по баннеру и закрытие. Нет навигации по сайту, нет возвратов, нет добавлений в избранное. Анализ воронки поведения на уровне сайта рекламодателя может выявить эти аномалии, но только постфактум — деньги за клик уже списаны.
Временные паттерны
Автоматизация оставляет следы во временных характеристиках: регулярные интервалы между кликами, активность в нетипичные часы (ночью, когда владелец устройства спит), одновременные клики с устройств в разных часовых поясах по одному и тому же расписанию. Однако продвинутые ботнеты добавляют рандомизацию задержек, что затрудняет обнаружение.
TCP/TLS-fingerprinting: уровень, который бот не контролирует
Здесь начинается самое интересное для технических специалистов. Даже когда бот работает на реальном устройстве, он часто использует для генерации трафика не основной браузер пользователя, а системный HTTP-клиент, скрытый WebView или встроенную библиотеку. И каждый из этих инструментов оставляет уникальный сетевой отпечаток.
TCP-fingerprint формируется из параметров первого SYN-пакета: размер окна, значение TTL, максимальный размер сегмента (MSS), набор и порядок TCP-опций. Каждая операционная система и версия сетевого стека формирует SYN-пакет по-своему. Если устройство заявляет себя как Android-смартфон с Chrome, но TCP-fingerprint соответствует Linux-серверу — это признак подмены.
TLS-fingerprint (JA3/JA4) формируется из параметров TLS ClientHello: версия протокола, список и порядок шифронаборов (cipher suites), список расширений, эллиптические кривые. Chrome, Firefox, Safari, системный WebView Android, библиотека OkHttp, Python requests — все они формируют ClientHello с разным набором параметров в разном порядке.
Ключевой момент: когда бот на заражённом Android-устройстве открывает рекламную ссылку через WebView или системный HTTP-клиент, его TLS-отпечаток будет отличаться от отпечатка Chrome, которым пользуется владелец устройства. Для рекламной сети запрос якобы пришёл от Chrome (User-Agent совпадает), но на уровне TLS-рукопожатия видно, что соединение установлено другой библиотекой. Это несоответствие — надёжный маркер автоматизированного трафика, который ботнет не может устранить без полной замены сетевого стека на заражённом устройстве.
Reverse proxy, работающий перед сайтом рекламодателя, способен извлекать TCP и TLS-отпечатки из каждого входящего соединения и сопоставлять их с заявленным User-Agent в реальном времени. Это позволяет выявлять ботнет-трафик до того, как рекламная система зафиксирует клик.
Экономическая модель ботнет-фрода
Рекламный ботнет — это полноценный бизнес с чёткой экономикой. Оператор ботнета несёт затраты на распространение малвари (оплата инсталляций — от $0.10 до $1.00 за заражённое устройство в зависимости от региона), аренду C2-инфраструктуры и разработку вредоносного ПО. Доход формируется из выплат рекламных сетей за клики и показы.
Арбитраж прост: если стоимость клика в рекламной сети составляет $0.50, а стоимость одного «зомби-клика» (с учётом всех затрат) — $0.05, оператор получает десятикратную маржу. При масштабе в миллионы устройств и миллиарды показов суммы быстро достигают десятков миллионов долларов.
Часть операторов работает по модели Botnet-as-a-Service, предоставляя доступ к инфраструктуре за абонентскую плату. Другие продают трафик на биржах, где покупатели даже не знают (или предпочитают не знать), что трафик генерируется ботами. Эта многослойная цепочка посредников затрудняет расследование и размывает юридическую ответственность.
Юридические последствия: громкие приговоры
Правоохранительные органы всё активнее преследуют операторов рекламных ботнетов. Наиболее показательные случаи:
- Александр Жуков (Methbot) — арестован в Болгарии в 2018 году, экстрадирован в США, признан виновным в мошенничестве, приговорён к 10 годам тюремного заключения и конфискации $36 млн.
- Операторы 3ve — восемь человек обвинены Министерством юстиции США, трое арестованы, инфраструктура ликвидирована в ходе совместной операции ФБР, Google и HUMAN (White Ops).
- Сергей Овсянников и Евгений Тимченко (3ve) — арестованы в Малайзии и Эстонии соответственно, экстрадированы в США.
Эти дела создали юридический прецедент: рекламный фрод через ботнеты квалифицируется как компьютерное мошенничество (wire fraud) и отмывание денег (money laundering), что предусматривает наказание до 20 лет лишения свободы по федеральному законодательству США.
Как защититься: многоуровневый подход
Ни один метод в отдельности не обеспечивает надёжной защиты от ботнет-трафика. Эффективная стратегия требует комбинации технологий:
- TCP/TLS-fingerprinting на reverse proxy — первый и самый надёжный барьер. Выявляет несоответствие между заявленным браузером и реальным сетевым стеком до загрузки страницы.
- Поведенческий анализ — оценка паттернов навигации, глубины просмотра, наличия микроконверсий. Работает как второй уровень проверки.
- Аномалии временных рядов — мониторинг CTR, конверсий и объёмов трафика по каждому источнику. Резкие всплески с одного канала без пропорционального роста конверсий — красный флаг.
- Ads.txt и sellers.json — верификация цепочки перепродажи рекламного инвентаря. Не защищает от ботов напрямую, но затрудняет подмену площадок.
- Post-click аналитика — отслеживание поведения трафика после клика: процент отказов, время на сайте, прохождение воронки.
Заключение
Ботнеты остаются самой серьёзной угрозой для рекламных бюджетов, потому что используют главное оружие — инфраструктуру реальных пользователей. JavaScript-проверки, CAPTCHA и блокировка по IP бессильны против трафика, который приходит с настоящих устройств, из настоящих браузеров, с настоящих домашних IP-адресов. Единственный уровень, на котором автоматизация всё ещё оставляет следы — это сетевой стек: параметры TCP-соединения и TLS-рукопожатия, которые формируются криптографической библиотекой клиента и не контролируются вредоносным кодом.