Министерство юстиции США предъявило обвинение 22-летнему Этану Фольцу из города Юджин, штат Орегон. Его считают администратором и создателем RapperBot — масштабного ботнета, предоставлявшего услуги по организации DDoS-атак по найму. Согласно обвинительному заключению, Фольцу грозит максимальное наказание в виде 10 лет лишения свободы по одному пункту обвинения в пособничестве и подстрекательстве к компьютерным вторжениям.
Правоохранительные органы провели обыск в резиденции Фольца 6 августа 2025 года. В ходе операции был изъят административный контроль над инфраструктурой ботнета, что положило конец его деятельности. Эта акция стала частью более широкой международной инициативы под названием Operation PowerOFF, направленной на ликвидацию криминальных DDoS-сервисов по всему миру.
Ботнет RapperBot, также известный под псевдонимами 'Eleven Eleven Botnet' и 'CowBot', был активен как минимум с мая 2021 года. Его техническая база была в значительной степени основана на коде печально известных ботнетов Mirai и fBot (Satori). Сеть функционировала путем компрометации десятков тысяч устройств интернета вещей (IoT) по всему миру, в частности цифровых видеорегистраторов (DVR) и Wi-Fi роутеров.
Механизм заражения был прост и эффективен. Вредоносное ПО получало доступ к устройствам через атаки методом перебора (brute-force) по протоколам SSH и Telnet. После заражения устройство становилось частью централизованно управляемой сети. Клиенты платили оператору за возможность направлять объединенную мощность этих устройств на выбранные цели, перегружая их серверы и выводя из строя веб-ресурсы.
Со временем функциональность RapperBot расширилась. В отчете компании Fortinet за 2023 год подробно описывалось, как ботнет был модифицирован для занятия криптоджекингом. Помимо DDoS-атак, вычислительные ресурсы зараженных устройств использовались для скрытого майнинга криптовалюты Monero, что приносило его оператору дополнительную незаконную прибыль.
За период с апреля по начало августа 2025 года ботнет был использован для совершения более 370 000 атак на 18 000 уникальных жертв в более чем 80 странах. Среди пострадавших были цели в Китае, Японии, США, Ирландии и Гонконге. В числе заметных атакованных ресурсов упоминаются компании DeepSeek и социальная сеть X.
Масштабы RapperBot были внушительными. По оценкам прокуратуры, в его состав входило от 65 000 до 95 000 скомпрометированных устройств. Эксперты из Amazon Web Services (AWS) зафиксировали более 45 000 активных ботов в 39 странах. Совокупная мощность атак, генерируемых этой сетью, составляла от 2 до 3 терабит в секунду (Тбит/с), а самая крупная зафиксированная атака, вероятно, превысила мощность в 6 Тбит/с.
Следователям удалось выйти на Этана Фольца, отследив цифровые следы. IP-адреса, связанные с инфраструктурой управления ботнетом, были сопоставлены с онлайн-сервисами, которыми пользовался обвиняемый, включая его аккаунты в PayPal, Gmail и данные его интернет-провайдера.
Помимо технических улик, поведенческие данные также указывали на Фольца. Анализ показал, что он более 100 раз искал в Google запросы "RapperBot" или "Rapper Bot", что свидетельствует о его пристальном интересе к деятельности собственной сети и ее упоминаниям в открытых источниках.
Ключевую роль в расследовании и нейтрализации угрозы сыграла компания Amazon Web Services (AWS). Специалисты AWS помогли идентифицировать командно-контрольные серверы (C2) RapperBot и провели обратный инжиниринг вредоносного ПО. Это позволило составить полную карту операций ботнета и его активности, что стало решающим фактором в успехе Operation PowerOFF.
Изображение носит иллюстративный характер
Правоохранительные органы провели обыск в резиденции Фольца 6 августа 2025 года. В ходе операции был изъят административный контроль над инфраструктурой ботнета, что положило конец его деятельности. Эта акция стала частью более широкой международной инициативы под названием Operation PowerOFF, направленной на ликвидацию криминальных DDoS-сервисов по всему миру.
Ботнет RapperBot, также известный под псевдонимами 'Eleven Eleven Botnet' и 'CowBot', был активен как минимум с мая 2021 года. Его техническая база была в значительной степени основана на коде печально известных ботнетов Mirai и fBot (Satori). Сеть функционировала путем компрометации десятков тысяч устройств интернета вещей (IoT) по всему миру, в частности цифровых видеорегистраторов (DVR) и Wi-Fi роутеров.
Механизм заражения был прост и эффективен. Вредоносное ПО получало доступ к устройствам через атаки методом перебора (brute-force) по протоколам SSH и Telnet. После заражения устройство становилось частью централизованно управляемой сети. Клиенты платили оператору за возможность направлять объединенную мощность этих устройств на выбранные цели, перегружая их серверы и выводя из строя веб-ресурсы.
Со временем функциональность RapperBot расширилась. В отчете компании Fortinet за 2023 год подробно описывалось, как ботнет был модифицирован для занятия криптоджекингом. Помимо DDoS-атак, вычислительные ресурсы зараженных устройств использовались для скрытого майнинга криптовалюты Monero, что приносило его оператору дополнительную незаконную прибыль.
За период с апреля по начало августа 2025 года ботнет был использован для совершения более 370 000 атак на 18 000 уникальных жертв в более чем 80 странах. Среди пострадавших были цели в Китае, Японии, США, Ирландии и Гонконге. В числе заметных атакованных ресурсов упоминаются компании DeepSeek и социальная сеть X.
Масштабы RapperBot были внушительными. По оценкам прокуратуры, в его состав входило от 65 000 до 95 000 скомпрометированных устройств. Эксперты из Amazon Web Services (AWS) зафиксировали более 45 000 активных ботов в 39 странах. Совокупная мощность атак, генерируемых этой сетью, составляла от 2 до 3 терабит в секунду (Тбит/с), а самая крупная зафиксированная атака, вероятно, превысила мощность в 6 Тбит/с.
Следователям удалось выйти на Этана Фольца, отследив цифровые следы. IP-адреса, связанные с инфраструктурой управления ботнетом, были сопоставлены с онлайн-сервисами, которыми пользовался обвиняемый, включая его аккаунты в PayPal, Gmail и данные его интернет-провайдера.
Помимо технических улик, поведенческие данные также указывали на Фольца. Анализ показал, что он более 100 раз искал в Google запросы "RapperBot" или "Rapper Bot", что свидетельствует о его пристальном интересе к деятельности собственной сети и ее упоминаниям в открытых источниках.
Ключевую роль в расследовании и нейтрализации угрозы сыграла компания Amazon Web Services (AWS). Специалисты AWS помогли идентифицировать командно-контрольные серверы (C2) RapperBot и провели обратный инжиниринг вредоносного ПО. Это позволило составить полную карту операций ботнета и его активности, что стало решающим фактором в успехе Operation PowerOFF.
