События

Эксперт обнаружил связь между операцией Carbanak и российской IT-компанией

Эксперт обнаружил связь между операцией Carbanak и российской IT-компанией

Исследователь в сфере информационной безопасности Рон Гильмет (Ron Guilmette) обнаружил сходство в регистрационных записях ряда web-сайтов, замеченных в распространении вредоносного ПО, использовавшегося в киберпреступной операции Carbanak. По данным «Лаборатории Касперского», в рамках кампании злоумышленники похитили порядка $1 млрд (в основном из российских банков).

К примеру, по свидетельствам многочисленных ИБ-исследователей, домены weekend-service.com, coral-trevel.com и freemsk-dns.com были задействованы в качестве центров по распространению вредоноса Carbanak. По информации эксперта Брайана Кребса, записи WHOIS всех трех доменов содержат одни и те же номера телефонов и факсов - 1066569215 и 1066549216 – с кодами +86 (Китай) и +01 (США). Как выяснилось, оба номера принадлежат китайской компании Xicheng Co. Кроме того, все записи содержат контактный электронный адрес williamdanielsen@yahoo.com. По данным ThreatConnect, этот адрес использовался при регистрации по меньшей мере 484 доменов, 304 из которых были связаны с вредоносным плагином, предположительно использованным в операции Carbanak.

В числе доменов эксперты обнаружили сайт cubehost.biz, в сентябре 2013 года зарегистрированный на жителя Перми Артема Тверитинова. Владельцем данного ресурса является российская ИБ-компания Infocube (встречается название Infokube), сайт которой также зарегистрирован на Тверитинова. Согласно пресс-релизу московской компании Falcongaze, Тверитинов является «исполнительным директором InfoKub». Как утверждается в собственном пресс-релизе InfoKube, фирма занимается созданием систем защиты от несанкционированного доступа для госорганов Пермского края, а также предоставляет консультационные услуги в рамках «связанных с безопасностью» проектов, разрабатываемых Министерством внутренних дел РФ.

По информации официального сайта InfoKube, предприятие сотрудничает с рядом известных ИБ-компаний, в том числе Symantec, «Лаборатория Касперского», Zyxel и ESET. По словам представителей Zyxel и ESET, компании никогда не имели дела с InfoKube. В «Лаборатории Касперского» признали факт сотрудничества, но отметили, что оно было весьма незначительным.

Брайану Кребсу удалось связаться с Артемом Тверитиновым по электронной почте и через страницу в «ВКонтакте». В процессе общения Тверитинов удалил свой профиль в соцсети, который он активно поддерживал с 2012 года. На вопрос Кребса о причастности к сайту cubehost.biz Тверитинов ответил, что никогда не регистрировал данный ресурс, а при регистрации сайта могли использоваться его похищенные персональные данные.

Как оказалось, компания InfoKube использует ряд IP-адресов, предоставляемых ООО «Санкт-Петербургская Интернет сеть». Значительное количество вышеуказанных доменов, связываемых специалистами с распространением Carbanak, используют предназначенное Cubehost адресное пространство. Дальнейшее расследование показало, что блок 146.185.239.0/24 связан с физическим адресом в эмирате Рас-аль-Хайма (ОАЭ), получившем репутацию отличного места для учреждения полностью анонимных офшорных компаний.

По словам Гильмета, адресное пространство InfoKube в течение нескольких лет использовалось в преступных целях. Например, в качестве C&C-серверов для управления банковскими троянами Citadel и Sinowal.

«Если Тверитинов знал или был даже в небольшой мере вовлечен в криминальную активность в адресном пространстве, вполне вероятно, что он принимал участие и в других операциях […] возможно даже Carbanak», - отметил Гильмет.

Автор: Сергей Куприянов
19.07.2016 (18:26)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2019

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.