Обнаружено, что известная американская веб-хостинговая компания предоставляет свои услуги более чем 20 спонсируемым государством хакерским группам, в том числе работающим на Китай, Северную Корею и Россию.
Исследователи кибербезопасности Halcyon сообщил Компания под названием Cloudzy «сознательно или неосознанно» предоставила свои серверы для управления и контроля известным хакерским коллективам, спонсируемым государством. Среди его клиентов APT10 (Китай), Kimsuky (Северная Корея), Turla, Nobelium и FIN12 (Россия).
Исследователи также утверждают, что в другие группы входят те, кто работает на Иран, Пакистан, Вьетнам и даже Израиль. В список попала израильская компания Candiru. Это компания, которая продает шпионское ПО для смартфонов правительствам. TechCrunchВнесен в черный список правительством США в 2021 году за действия, подрывающие национальную безопасность страны.
Исследователи добавили, что около половины всех серверов Cloudzy использовались в злонамеренных целях.
Дальнейшее расследование показало, что руководство Cloudzy приложило все усилия, чтобы оставаться в тени. Компания утверждает, что базируется в Нью-Йорке и зарегистрирована в Вайоминге, но номер телефона службы поддержки находится в Лас-Вегасе. Halcyon утверждает с «высокой уверенностью», что люди, основавшие Cloudzy, сделали это только для прикрытия AbrNOC, иранской облачной хостинговой компании. У обеих компаний один и тот же логотип (хотя и разного цвета), а сотрудники, указанные на обоих сайтах, одинаковы (оба имени вымышленные, утверждают исследователи). Говорят, что генеральным директором AbrNOC является Ханнан Нозари, и его биография в Твиттере показывает, что он является основателем обеих веб-хостинговых компаний, сообщили источники.
Хотя журналисты TechCrunch не смогли связаться с Нозари, по сообщениям, это удалось Reuters, и он сказал агентству, что Cloudzy не несет ответственности за то, что делают их клиенты, и что компания делает «все, что в наших силах», чтобы их устранить. Он добавил, что только 2% клиентов компании являются злонамеренными.
Анализ: Почему это важно?
Для кражи личных данных или подобных преступных кампаний киберпреступникам нужна инфраструктура. Им нужны серверы для размещения вредоносных целевых страниц и дисковое пространство для хранения и последующего анализа украденных данных. Уважаемые веб-хостинговые агентства не позволяют своим клиентам заниматься злонамеренными действиями и имеют строгие правила, запрещающие пользователям создавать вредоносные веб-сайты, целевые страницы и многое другое.
В данном конкретном случае исследователи кибербезопасности наткнулись на компанию, которая предоставляла свои услуги двум десяткам субъектов национального государства. Это не обычные киберпреступники. Эти группы насчитывают десятки (если не сотни) членов и действуют слаженно, в основном с одной целью: сбор данных и кибершпионаж. Спонсируемые государством субъекты угроз обычно нацелены на лиц, представляющих большой интерес, таких как политики и дипломаты, журналисты, активисты, ученые и т.п.
Например, APT10 был обнаружен еще в 2019 году при эксплуатации ZeroLogon Уязвимость для промышленных, автомобильных, фармацевтических и машиностроительных компаний, базирующихся в Японии. Symantec, которая обнаружила кампанию, обнаружила, что группа AP10 использовала в кампании различные инструменты, включая сетевую разведку, кражу учетных данных, сценарии PowerShell и архивирование RAR. Неопубликованная загрузка DLL также использовалась для внедрения специального вредоносного ПО под названием Backdoor.Hartip.
В начале июня этого года ФБР вместе с рядом агентств-партнеров предупредило об этом. Кимсуки выдавать себя за журналистов, ученых или других заслуживающих доверия лиц с целью использования компьютерных сетей против лиц, работающих в исследовательских центрах, аналитических центрах, академических учреждениях и организациях средств массовой информации. С другой стороны, Turla недавно была ликвидирована ФБР. Он заявил, что воровал конфиденциальные данные у НАТО в течение почти 20 лет.
Нарушая их инфраструктуру, исследователи добились двух целей: они значительно отбросили шпионов назад и защитили частную жизнь (и, возможно, даже жизни) бесчисленного количества людей. Кроме того, как только правоохранительные органы захватят серверы и увидят хранящийся там контент, они смогут лучше понять цели и задачи этих групп.
Это не означает, что хакеры остановились — это просто неудача. Вскоре они найдут другого поставщика услуг, с помощью которого можно злоупотреблять и размещать свой вредоносный контент. Но в любом случае открытие задержало ее, по крайней мере, ненадолго.
Что другие говорят о результатах?
Новость привлекла большое внимание средств массовой информации, и несколько СМИ сообщили, что провайдер веб-хостинга обслуживает преступников.
В своем эссе ОГО онлайн подчеркивает, что Cloudzy позволяет своим пользователям оплачивать услуги в криптовалютах. Хотя в этом нет ничего нового, и многие компании, ориентированные на конфиденциальность (например, провайдеры VPN), допускают то же самое, Cloudzy позволяет осуществлять платежи в Monero, монете конфиденциальности. Monero обычно используется киберпреступниками, поскольку его чрезвычайно сложно отследить, а операторы программ-вымогателей часто требуют, чтобы оплата производилась именно с помощью этой монеты.
идти глубже
Если вы хотите узнать больше, обязательно ознакомьтесь с нашим списком Лучшие провайдеры общего веб-хостингаа также наш путеводитель по лучшие брандмауэры. Также ознакомьтесь с нашим руководством Лучшая защита конечных точека также лучшие VPN в данный момент.
Выше: TechCrunch
