Киберпреступная група Carbanak пов'язана з російською компанією у сфері безпеки?

Brian Krebs написав у себе в блозі об'ємний матеріал, який показує цікавий погляд на те, хто і як пов'язаний з групою Carbanak, нашумілої у зломі близько 100 фінансових установ, що викрали близько 1 мільярда доларів США.

Нижче переклад цієї статті (зауваження прохання писати в особисті повідомлення).


Найбільш відомою киберпреступной групою є група Carbanak. Цих хакерів зі Східної Європи звинувачують у крадіжці понад мільярда доларів з банків. Сьогодні ми розглянемо деякі переконливі докази, що вказують на зв'язок між Carbanak і російською фірмою з безпеки, яка претендує на роботу з деякими найбільшими брендами у сфері кібербезпеки.

Група Carbanak отримала свою назву від шкідливого банківського програмного забезпечення, використовуваного в незліченних кібер-крадіжках. Ця група, мабуть, є найвідомішою за проникнення в банківські мережі з допомогою заражених файлів Microsoft Office, використовуючи потім цей доступ для видачі готівки банкоматами. За оцінками Лабораторії Касперського, Carbanak-му, швидше за все, вкрадено понад 1 млрд. дол. США, – але, в основному, з російських банків.

image


Я недавно чув від дослідника в сфері інформаційної безпеки Ron Guilmette, що він знайшов кілька цікавих спільних рис у реєстраційних записах веб-сайтів, які були раніше відповідальні за поширення шкідливого ПЗ, яке використовується групою Carbanak.

Наприклад, домени «weekend-service[dot]com», «coral-trevel[dot]com» і «freemsk-dns[dot]com» зафіксовані кількома фірмами з безпеки в якості центрів з розповсюдження шахрайського ЗА Carbanak. Записи історії WHOIS по всіх трьох доменів містять один і той же номер телефону та факсу, який належить Xicheng Co. у Китаї – 1066569215 і 1066549216, кожен з яких починається з +86 (телефонний код Китаю) або +01 (США). Кожна запис включає один і той же e-mail: «williamdanielsen@yahoo.com».

За даними ThreatConnect, принаймні 484 домену були зареєстровані на williamdanielsen@yahoo.com або на один із 26 адрес електронної пошти, які пов'язані з тими ж номерами телефонів і китайською компанією. «Принаймні 304 з цих доменів були пов'язані з шкідливим плагіном, що раніше був віднесений до діяльності Carbanak», — повідомляє ThreatConnect.

Повернемося до цих двох телефонних номерах, 1066569215 і 1066549216. На перший погляд вони здаються послідовними, але при більш детальному розгляді видно, що вони трохи відрізняються в середині. Серед небагатьох доменів, зареєстрованих з цими китайськими номерами, які не були помічені у запуску шкідливих програм, веб-сайт під назвою «cubehost[dot]biz», який був зареєстрований у вересні 2013-го на 28-річного Артема Тверитинова з міста Перм, Росія.

Cubehost[dot]biz зараз бездіяльний сайт, але, схоже, що він належить російській фірмі Infocube. Сайт InfoCube – infokube.ru – також зареєстрований на Артема Тверитинова. Є десятки записів в історії WHOIS infokube.ru, але тільки найстаріша, оригінальна запис 2011-го року, містить адресу електронної пошти atveritinov@gmail.com
Цю ж адресу електронної пошти використовувався для реєстрації профілю Артема Тверитинова з Пермі в ВКонтакте.

Пан Тверітінов вказаний як «Головний виконавчий директор InfoKub» пресс-релизе від московської організації з безпеки FalconGaze – фірми, яка полягала в партнерстві з InfoKube в реалізації «захисту даних і моніторингу персоналу» в російському комерційному науково-дослідному інституті.

до Речі, компанія Falcongaze вчора заявила про наявність у неї технології перехоплення повідомлень Telegram, на що Павло Дуров відповів, що їх програма є трояном.

Власні прес-релізи компанії InfoKube кажуть, що компанія також зайнята розробкою «системи захисту інформації від несанкціонованого доступу» для Пермі і Пермського краю, а також бере участь у ряді консалтингових проектів, пов'язаних з «інформаційною безпекою», проведеної спільно з ГУ МВС Росії.

Веб-сайт компанії стверджує, що InfoKube співпрацює з різними security-фірмами — в тому числі, з Symantec і Mcafee. Остання підтверджує, що InfoKube був «дуже незначним партнером» Лабораторії Касперського і, в основному, брав участь в інтеграції систем. Zyxel повідомляє, що не мав жодних партнерів з назвою InfoKube. За словами ж ESET, «Infokube не є і ніколи не був партнером компанії ESET в Росії».

У зв'язку з наданими висновками Guilmette, я дуже хотів запитати пана Тверитинова, як номери телефонів і факсів для китайського об'єкта, чий номер телефону став синонімом кіберзлочинності, стали точнісінько скопійованими в WHOIS сайту Cubehost. Я послав запити пану Тверитинову по електронній пошті і через його сторінку ВКонтакте.

Спочатку я отримав дружній відповідь по електронній пошті, виявляє цікавість з приводу мого запиту, а також питання, як я виявив його e-mail. У розпал складання більш докладного питання я помітив, що профіль ВКонтакте, який Тверитиновым регулярно підтримувався з квітня 2012-го, в даний час безповоротно видалений. Сторінка профілю Артема і його фотографії фактично зникли з екрану у мене на одному моніторі, поки я був у процесі виробництва листи до нього на іншому.

Незадовго після того, як сторінка ВКонтакте Тверитиновым була вилучена, я отримав від нього e-mail. Не звертаючи уваги на моє запитання про раптове зникнення соціального профілю, Тверітінов сказав, що він не реєстрував cubehost.biz і що його персональна інформація була вкрадена і використана в реєстраційних записах для cubehost.biz.

«Наша компанія ніколи не робила нічого незаконного, і проводить усі заходи відповідно до законодавства Російської Федерації», — повідомив він по електронній пошті. — Крім того, досить нерозумно використовувати наші персональні дані для реєстрації доменів, які будуть використовуватися для злочинів, так як [ми] фахівці в області інформаційної безпеки».

Виявляється, InfoKube/Cubehost також використовує велику кількість IP-адрес, керованих ТОВ «Санкт-Петербурзька Інтернет Мережа» («PIN»), провайдером інтернет-послуг в Санкт-Петербурзі.

Наприклад, багато з вищезазначених доменних імен, які фірми з кібербезпеки пов'язують з поширенням Carbanak (наприклад, freemsk-dns[dot].com), розміщені на інтернет-адресах Cubehost. Пошук реєстраційних записів для блоку 146.185.239.0/24 виявляє фізичну адресу в регіоні Ras al Khaimah, Об'єднані Арабські Емірати. Даний регіон прагне створити собі репутацію в якості податкового укриття і місця, де можна легко створювати повністю анонімні офшорні компанії. Той же список RIPE каже, що скарги на інтернет-адреси у цьому блоці повинні бути спрямовані на «info@cubehost.biz».

Цей хостинг-провайдер в Санкт-Петербурзі, «PIN», досяг високого ступеня недоброї слави і, ймовірно, гідний додаткового вивчення, враховуючи його репутацію як притулок для всіх видів онлайн негідників.

Насправді, Doug Madory, директор з інтернет аналізу Dyn, назвав компанію ТОВ «Санкт-Петербурзька Інтернет-Мережу», як «… можливо, провідний претендент для отримання назви «Mos Eisley Інтернету»» (посилання на космодром, повний чужорідних злочинців, у фільмі «Зоряні війни» 1977-го року).

Madory пояснює, що дуже погана репутація ТОВ «Санкт-Петербурзька Інтернет-Мережу» виходить з схильності провайдера по приховуванню величезних шматків адресних блоків Інтернет, які фактично не належать йому, а потім це викрадене адресний простір повторно здається в оренду спамерам і інших інтернет-зловмисниками.

Зі свого боку, Guilmette вказує на десятирічну значимість інший огидною діяльності, яка відбувається в адресному просторі Інтернет, мабуть, належить Тверитинову і його компанії. Наприклад, у 2013-му році Microsoft захопили безліч доменів, припаркованих там, які використовувалися в якості керуючих вузлів для шкідливого ПЗ Citadel, спрямованого проти онлайн-банкінгів, і всі ці домени мали ті ж «Xicheng Co.» дані у своїх WHOIS записах. У вересні 2011-го звіт в блозі безпеки dynamoo.com відзначає кілька доменів з цим Xicheng Co. WHOIS інформація, яка вказує на використання трояна Sinowal у крадіжках з онлайн-банкінгів, була виявлена ще в 2006-му році.

«Якщо пан Тверітінов знав або брав безпосередню участь навіть малої частини кримінального відбувається всередині його адресного простору, то ймовірність того, що він, можливо, також відіграє певну роль у інших додаткових злочинних компаніях… в тому числі, можливо, навіть в кибербанковских пограбуваннях Carbanak… стає все більш правдоподібною і імовірною», — говорить Guilmette.

Залишається неясним, якою мірою група Carbanak все ще активна. Минулого місяця влада Росії затримали 50 осіб, які, ймовірно, пов'язаних з організованою киберпреступной групою, члени якої родом з Росії, Китаю, України та інших частин Європи. Акція була оголошена як найбільше затримання фінансових хакерів в Росії.



Нагадаю, що це переклад статті. Зауваження прохання писати в особисті повідомлення.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.