05.03.26 13:19
Спрос на высокопроизводительную память растёт стремительно. Обучение больших языковых моделей, работа серверов вывода и другие задачи искусственного интеллекта требуют огромных объёмов оперативной памяти. На фоне такого давления производители начали выпускать больше серверных модулей, которые приносят больше прибыли. Обычные модули DDR5 для потребительского рынка стали встречаться реже, цены пошли вверх.
Дефицит быстро превратился в источник заработка для перекупщиков. Схема простая, пишут в Securitylab: автоматические программы следят за появлением товара по минимальной цене, мгновенно оформляют покупку и затем продают память дороже на вторичных площадках.
Специалисты группы анализа угроз Galileo обнаружили автоматизированную схему, нацеленную на интернет-магазины с DDR5. Боты активно использовали сторонний сетевой сервис, чтобы проверять наличие товара и мгновенно выкупать доступные партии. За время наблюдений системы защиты DataDome заблокировали более 10 миллионов запросов, связанных со сбором данных о товарах.
Автоматические программы отправляли свыше 50 тысяч запросов каждый час. Один товар проверяли в среднем 550 раз. В результате наличие конкретного комплекта памяти проверяли примерно раз в 6,5 секунды. Такая частота явно указывает на автоматическое отслеживание цен и остатков ради перепродажи.
Чаще всего боты обращались к страницам с DDR5 примерно в шесть раз чаще, чем обычные покупатели. При этом атаки затронули не только игровые комплекты памяти для домашних компьютеров. Автоматические системы активно просматривали каталоги производителей промышленной памяти, серверных модулей и даже поставщиков отдельных аппаратных компонентов, например разъёмов для модулей памяти. Давление со стороны перекупщиков затронуло почти всю цепочку поставок DDR5 – от производителей до розничных магазинов.
Система сбора данных старалась скрыть автоматическую природу работы. Почти каждый запрос содержал специальные параметры, которые не позволяют использовать кеш страниц. За одну сессию бот открывал только одну страницу и сразу отключался. Программы не использовали поиск, корзину или другие функции магазина – интересовали только карточки товара.
Распределене нагрузок показало любопытную особенность. Он выглядела почти как осуществляемая людьми с дневными и ночными циклами, однако в пиковые часы график образовывал идеально ровные «плато». Такое поведение указывает на ограничение скорости запросов. Программа, вероятно, протестировала пределы защиты сайтов и настроила частоту обращений так, чтобы оставаться чуть ниже порога срабатывания защитных систем.
Обычные покупатели ведут себя иначе. По выходным количество посещений интернет-магазинов обычно падает на 20–40%. В наблюдаемой кампании поток запросов оставался одинаковым и в субботу, и в воскресенье. Когда у автоматической системы возникали технические проблемы, поток обращений мгновенно обрывался, а затем столь же резко возвращался к прежнему уровню – поведение, которое невозможно объяснить действиями обычных пользователей.
Классические методы защиты сайтов, основанные только на проверке IP-адресов или простом ограничении частоты запросов, плохо справляются с подобными атаками. Современные боты умеют маскироваться под обычный трафик и использовать инфраструктуру легальных сервисов. Для обнаружения подобных схем системам безопасности приходится анализировать поведенческие признаки: равномерные пики нагрузки, круглосуточные обращения и другие характерные признаки автоматики.
