Сначала лишили работы, теперь лишают компьютеров. Нейросети опустошили рынок оперативки

Рынок оперативной памяти неожиданно стал жертвой нового вида спекуляции. Резкий рост интереса к системам искусственного интеллекта вызвал дефицит модулей DDR5, а вместе с дефицитом появились и автоматические боты, которые массово скупают память в интернет-магазинах ради перепродажи по завышенной цене.

Спрос на высокопроизводительную память растёт стремительно. Обучение больших языковых моделей, работа серверов вывода и другие задачи искусственного интеллекта требуют огромных объёмов оперативной памяти. На фоне такого давления производители начали активнее выпускать серверные модули, которые приносят больше прибыли. Обычные модули DDR5 для потребительского рынка стали встречаться реже, цены пошли вверх.

Дефицит быстро превратился в источник заработка для перекупщиков. Схема простая: автоматические программы следят за появлением товара по минимальной цене, мгновенно оформляют покупку и затем продают память дороже на вторичных площадках.

Специалисты группы анализа угроз Galileo обнаружили масштабную автоматизированную кампанию, нацеленную на интернет-магазины с DDR5. Боты активно использовали сторонний сетевой сервис, чтобы проверять наличие товара и мгновенно выкупать доступные партии. За время наблюдений системы защиты DataDome заблокировали более 10 миллионов запросов, связанных со сбором данных о товарах.

Активность оказалась очень высокой. Автоматические программы отправляли свыше 50 тысяч запросов каждый час. Один товар проверяли в среднем 550 раз. В результате наличие конкретного комплекта памяти проверяли примерно раз в 6,5 секунды. Такая частота явно указывает на автоматическое отслеживание цен и остатков ради перепродажи.

Чаще всего боты обращались к страницам с DDR5 примерно в шесть раз чаще, чем обычные покупатели. При этом атаки затронули не только игровые комплекты памяти для домашних компьютеров. Автоматические системы активно просматривали каталоги производителей промышленной памяти, серверных модулей и даже поставщиков отдельных аппаратных компонентов, например разъёмов для модулей памяти. Давление со стороны перекупщиков затронуло почти всю цепочку поставок DDR5 – от производителей до розничных магазинов.

Система сбора данных старалась скрыть автоматическую природу работы. Почти каждый запрос содержал специальные параметры, которые не позволяют использовать кеш страниц. За одну сессию бот открывал только одну страницу и сразу отключался. Программы не использовали поиск, корзину или другие функции магазина – интересовали только карточки товара.

Графики трафика показали любопытную особенность. Нагрузка выглядела почти как человеческая активность с дневными и ночными циклами, однако в пиковые часы график образовывал идеально ровные «плато». Такое поведение указывает на ограничение скорости запросов. Программа, вероятно, протестировала пределы защиты сайтов и настроила частоту обращений так, чтобы оставаться чуть ниже порога срабатывания защитных систем.

Обычный покупательский трафик ведёт себя иначе. По выходным количество посещений интернет-магазинов обычно падает на 20–40%. В наблюдаемой кампании поток запросов оставался одинаковым и в субботу, и в воскресенье. Когда у автоматической системы возникали технические проблемы, поток обращений мгновенно обрывался, а затем столь же резко возвращался к прежнему уровню – поведение, которое невозможно объяснить действиями обычных пользователей.

Рост спроса на оборудование для искусственного интеллекта делает подобные схемы всё более привлекательными. Дорогие и дефицитные компоненты вроде DDR5 превращаются в цель для автоматических систем перекупки. В результате обычные покупатели сталкиваются с ещё более высоким дефицитом и ростом цен.

Классические методы защиты сайтов, основанные только на проверке IP-адресов или простом ограничении частоты запросов, плохо справляются с подобными атаками. Современные боты умеют маскироваться под обычный трафик и использовать инфраструктуру легальных сервисов. Для обнаружения подобных схем системам безопасности приходится анализировать поведенческие признаки: равномерные пики нагрузки, круглосуточные обращения и другие характерные признаки автоматической активности.