Регистрация / Вход
текстовая версия
ВОЙНА и МИР

 Сюжет дня

Четырехсторонний саммит по Сирии состоится в Турции
Шойгу отчитался об итогах трех лет операции в Сирии
Россия поставила Сирии три дивизиона С-300ПМ-2
Среди заложников ИГ в Сирии находятся граждане европейских стран
Главная страница » Новости » Просмотр
Версия для печати
BBC нашла в Британии следы российских хакеров
24.11.17 09:10 Информационные пузыри

Расследование Би-би-си обнаружило, что, когда самая известная группировка российских хакеров Fancy Bear арендовала серверы у зарегистрированной в Британии компании, взломщики оставили за собой множество следов.

Хакеры использовали арендованные серверы для кибератаки на компьютерную систему немецкого парламента, перехвата трафика сайта нигерийского правительства и взлома устройств Apple.

Компания Crookservers, которая предоставила серверы, на тот момент была зарегистрирована в английском городе Олдем под Манчестером.

Crookservers сообщила, что предоставление услуг Fancy Bear было немедленно прекращено, как только в компании узнали о деятельности хакеров.

Согласно техническим и финансовым документам Crookservers, с которыми ознакомились журналисты Би-би-си, клиенты компании из Fancy Bear располагали значительными финансовыми средствами и проводили платежи через онлайн-сервисы, часть которых впоследствии была закрыта в ходе операции по пресечению отмывания денег.

Хакеров из Fancy Bear, также известных как APT28, Sofacy, Iron Twilight и Pawn Storm, связывают с российской разведкой.

Эксперты в области кибербезопасности утверждают, что группировка сыграла ключевую роль в кибератаке на серверы Национального комитета Демократической партии США в преддверии президентских выборов 2016 года.

Адрес интернет-протокола (IP-адрес), который был привязан к серверу, снятому через Crookservers, был затем обнаружен во вредоносном программном коде, который использовался для кибератаки на демократов.

Магазинные шпионы

В начале 2012 года, по данным сайта компании, Crookservers была зарегистрирована по одному адресу с крохотным магазином, находящимся на ничем не примечательной улочке Олдема.

Однако через некоторое время адрес сменился на пакистанский. Журналисты Би-би-си не нашли каких-либо свидетельств того, что руководство магазина или его сотрудники знали об использования их адреса, или что Crookservers была каким-либо образом связана с магазином.

Crookservers - это компания, которая перепродает доступ к серверам. Подобный бизнес целиком и полностью ведется онлайн. Сами сдававшиеся сервера принадлежали другой компании и физически располагались во Франции и Канаде.

Би-би-си удалось выяснить имя управляющего компанией Crookservers - Усман Ашраф.

Судя по информации из социальных сетей и других интернет-источников, в период с 2010 года по середину 2014 он был в Олдеме. Сейчас он, судя по всему, проживает в Пакистане.

Ашраф отказался давать интервью под запись, однако подробно ответил на вопросы, отправленные ему по электронной почте.

Несмотря на название компании ("Crookservers" можно перевести как "серверы для жуликов"), он утверждает, что не знал, что среди его клиентов были хакеры.

"Мы никогда не знаем, каким образом клиент использует сервер", - написал он.

Когда в 2015 году ему сообщили о деятельности хакеров, он, по его словам, немедленно аннулировал их учетные записи.

Также он сказал, что устроил "контрольную проверку", в результате которой были закрыты еще примерно 60-70% аккаунтов, которые Ашраф подозревал в нарушении правил, так как он, по его словам, категорически против подобных злоупотреблений.

Собрать воедино

Хакеры Fancy Bear арендовали сервера у Crookservers более трех лет, заметая следы своей деятельности с помощью фальшивых удостоверений личности, виртуальных частных сетей (VPN) и платежных систем, использование которых трудно отследить.

Эксперты из Secureworks, проанализировавшие для Би-би-си информацию, полученную у Crookservers, сообщили, что с помощью серверов компании хакеры Fancy Bear провели несколько своих операций.

Эксперт по вопросам компьютерной безопасности Майк Маклеллан утверждает, что российские хакеры явно не утруждались сокрытием следов своей деятельности.

В одном из сообщений хакер под псевдонимом Роман Бреческу пожаловался, что его сервер был взломан, и попросил удалить все его содержимое.

Ранее Crookservers уже связывали с кибератакой на немецкий парламент.

Сервер, использовавшийся для управления вредоносной программой, также был арендован у Crookservers хакером под псевдонимом Николай Младенов. Журналисты Би-би-си ознакомились с платежными документами: выяснилось, что за аренду хакер расплатился биткойнами через систему Perfect Money.

Хакеры использовали сервер до июня 2015 года, после чего он был удален по требованию Crookservers, когда СМИ сообщили о кибератаке.

IP-адрес того же сервера фигурировал и во вредоносной программе, которую использовали для взлома аккаунтов некоторых посетителей авиасалона в Фарнборо в 2014 году.

Тот же IP-адрес содержался и в черве, который хакеры Fancy Bear использовали для кибератаки на одну из британских телекомпаний и Национальный комитет Демократической партии США, хотя к тому времени у Fancy Bear уже не было доступа к этому серверу.

Финансовая учетная запись Младенова использовалась и другим хакером, выбравшим псевдоним Клаус Вернер, чтобы взять в аренду у Crookservers дополнительные серверы.

На один из этих арендованных Вернером серверов, как показало расследование, поступал перенаправленный трафик с официального правительственного сайта Нигерии.

Взлом устройств Apple

Финансовая учетная запись Младенов и Вернера использовалась и другими хакерами Fancy Bear, в числе которых фигурировали некие Бруно Лабруссе и Роман Бреческу, для аренды серверов у Crookservers.

Один из серверов и электронный адрес, с которого поступил запрос на его аренду, похоже, связаны с программой для высокотехнологичного шпионажа, использовавшейся для взлома устройств на базе iOS.

Программа могла тайком от пользователя включить голосовую запись или выкрасть текстовые сообщения.

Другой электронный адрес, также использовавшийся для взятия в аренду серверов, можно связать с кибератакой на Агентство национальной безопасности Болгарии.

Однако есть еще восемь серверов, арендованных с той же учетной записи, информация о которых нигде не всплывала. Исходя из этого можно предположить, что о некоторых кибератаках Fancy Bear пока публично не сообщалось.

Следите за деньгами

Группировка Fancy Bear потратила на услуги Crookservers по меньшей мере 6000 долларов, проводя платежи через финансовые сервисы, обеспечивающие высокий уровень анонимности.

Среди них - Bitcoin, Liberty Reserve и Perfect Money. Система Liberty Reserve позже была закрыта, по итогам международного расследования об отмывании денег.

Би-би-си попросила британскую компанию Elliptic, специализирующуюся на выявлении незаконного использования биткойнов, проанализировать выплаты Fancy Bear.

Ведущий специалист компании Том Робинсон рассказал, что его команда вычислила электронный кошелек, из которого переводились средства. По его словам, общая стоимость хранящихся в нем биткойнов составляет примерно 100 тысяч долларов.

Elliptic удалось выяснить, что некоторые средства в кошельке были приобретены на электронной бирже BTC-e.

В июле деятельность BTC-e была прекращена американскими властями, а предполагаемый основатель биржи родом из России был арестован в Греции по обвинению в отмывании денег.

Хотя BTC-e была популярна среди российских киберпреступников, Би-би-си не обнаружила свидетельств того, что руководство биржи знало, что среди ее клиентов были хакеры Fancy Bear.

Финансовые и технические документы связывают воедино несколько кибератак, которые приписывались Fancy Bear.

И, возможно, если продолжать распутывать этот финансовый клубок, открытий будет еще больше.

Компания Crookservers прекратила свое существование 10 октября. Чего, однако, нельзя сказать о деятельности Fancy Bear.

 

 

 

Система Orphus: Если вы замeтили ошибку в тексте, выделите ее и нажмите Ctrl + Enter
King321424.11.17 09:57
Что-то я не увидел никакой связи между Fancy Bear и Россией.
ti-robot24.11.17 10:50
Значит - точно работа КГБ.
DreamR24.11.17 14:33
Из статьи видно, что журналисты проделали большую работу, распутывая этот клубок.
Но если сделать выжимку полезной информации, то ее немного
- есть такая компания Crookservers, услугами которой пользовалась хакерская группа,
- у группы Fancy Bear есть биткоины.

Все остальное - какая то каша.
"Эксперты из Secureworks, проанализировавшие для Би-би-си информацию, полученную у Crookservers, сообщили, что с помощью серверов компании хакеры Fancy Bear провели несколько своих операций."
Вроде что то написано - а толку ноль.
RedFox24.11.17 14:41
Ага. И снова старина Мыщх вырыл томагавк, и вышел на тропу войны.
nailgun24.11.17 20:58
короче нашли следы не "российских хакеров", а хакеров Fancy Bear. Которых считают связанными с Россией, но доказательств не выдают.
"был арендован у Crookservers хакером под псевдонимом Николай Младенов." - фамилия явно не русская. Такие фамилии у русских только в голливудских фильмах. И, если бы русскому было нужен псевдоним, ничто не мешало выбрать фамилию Смит, например. Но для западного читателя именно такая фамилия в расследовании отличная привязка к России
English
Архив
Форум

 Наши публикациивсе статьи rss

» Обзор событий в мире за 2 неделю октября 2018 г
» Лаваль: Обзор событий в мире за первую неделю октября 2018 г
» Экономика России: Некомпетентность или война кланов?
» Говорил вам умный человек - “...замучаетесь пыль глотать...”
» 200 британских и американских военных заблокированы в Идлибе
» Как нефтяной гигант Россия стала доминировать на рынке пшеницы
» Пенсионная реформа: если подумать… (II)
» Пенсионная реформа: если подумать… (I)

 Новостивсе статьи rss

» Король Иордании уведомил Израиль о нежелании продлевать ему аренду двух районов страны
» Москва обвинила Вашингтон в намеренном сломе ДРСМД
» Siemens получил многомиллиардный контракт в Ираке
» Австралийский журналист назвал Калининград "ножом у горла" НАТО
» СМИ: из-за взрывов на складах Украина потеряла 40% всех боеприпасов
» МО РФ назвало цену Т-34 во время Великой Отечественной войны‍
» В Лондоне на митинг за повторное голосование по Brexit пришли 700 тыс. человек
» В США спустили на воду две новейшие ударные АПЛ

 Репортаживсе статьи rss

» Инфраструктурные проекты инициативы «Один пояс, один путь» буксуют в мире «затянутых поясов» и «извилистых дорог»
» Мусорная тема. Как переработка отходов налажена в РФ и за рубежом
» Колониализм или взаимовыгодное сотрудничество: зачем Китаю Африка
» Тяжба в Лондоне - судьба глобальной финансовой системы решается в поединке Россия - Украина
» США подготовили план для Донбасса. "Воспитатели" получат миллионы долларов
» Размещение США в Румынии и Польше универсальных пусковых установок Мк-41 является нарушением РСМД
» 1951 год: Как лейбористы пропагандировали советский народ
» В чем Минюст США обвиняет сотрудников российской разведки. Обобщение

 Комментариивсе статьи rss

» Разговор с Джорджем Соросом: невинное начало больших перемен
» Пентагон ищет возможность срывать атаки российских радиотехнических средств в Сирии
» Washington Examiner: Индия испытывает терпение США
» Отсель грозить мы будем НАТО — дальний радиус действия «Калибров» позволяет
» «Без потери лица»: Япония ищет формулу отказа от претензий на Курилы
» Facebook. Невежество и слабоумие — новое «светлое будущее человечества»
» Почему американцы выходят на пенсию позже, чем было раньше
» Постпред США при НАТО "крупно облажалась", переборщив с жесткой риторикой в адрес России

 Аналитикавсе статьи rss

» «Теплая война»: вторгнется ли НАТО в Россию по стопам Наполеона и Гитлера
» 30-летие Монреальского протокола — позорная дата в истории мировой науки
» ФРС. Сокращение баланса ФРС. Важные моменты!
» «Маленькая честная Эстония» оказалась очень удобной для отмывания грязных денег
» Что стоит за попытками США остановить «Северный поток-2»
» Project Syndicate: Как создается финансовый кризис 2020 года
» Почему Иран предпочитает Восточный блок Западному
» Путь к войне. К 80-летию Мюнхенского раздела Чехословакии. Как это было
 
текстовая версия © 2006-2017 Inca Group "War and Peace"