ВВС виявила у Британії сліди російських хакерів

Crookservers
Image caption Російські хакери витратили на послуги Crookservers більше шести тисяч доларів

Розслідування ВВС виявило, що найвідоміше угруповання російських хакерів Fancy Bear залишило за собою безліч слідів, коли орендувало сервери у зареєстрованій в Британії компанії.

Хакери використовували орендовані сервери для кібератаки на комп'ютерну систему німецького парламенту, перехоплення трафіку сайту нігерійського уряду і зламу пристроїв Apple.

Компанія Crookservers, яка надала сервери, на той момент була зареєстрована в англійському місті Олдем під Манчестером.

В Crookservers повідомили, що негайно припинили надавати послуги Fancy Bear, щойно в компанії дізналися про діяльність хакерів.

Відповідно до технічних і фінансових документів Crookservers, з якими ознайомилися журналісти ВВС, клієнти компанії з Fancy Bear мали у своєму розпорядженні багато грошей і проводили платежі через онлайн-сервіси, частину яких згодом закрили під час операції з припинення відмивання статків.

Хакерів з Fancy Bear, також відомих як APT28, Sofacy, Iron Twilight і Pawn Storm, пов'язують з російською розвідкою.

Копирайт изображения Crowdstrike
Image caption Компанії Crowdstrike вдалося виявити деякі аспекти діяльності Fancy Bear

Експерти в галузі кібербезпеки стверджують, що угрупування зіграло ключову роль в кібератаці на сервери Національного комітету Демократичної партії США напередодні президентських виборів 2016 року.

Адреса інтернет-протоколу (IP-адреса), який був прив'язаний до сервера, орендованого через Crookservers, була потім виявлена у шкідливому програмному коді, який використовували для кібератаки на демократів.

Магазинні шпигуни

На початку 2012 року, за даними сайту компанії, Crookservers була зареєстрована за однією адресою з крихітним магазином, що розташований на нічим не примітній вуличці в Олдемі.

Image caption На початку 2012 року Crookservers була зареєстрована на невеличкій вуличці в Олдемі

Однак через деякий час адреса змінилася на пакистанську. Журналісти ВВС не знайшли жодних свідчень того, що керівництво магазину або його співробітники знали про використання їхньої адреси, або що Crookservers була якимось чином пов'язана з магазином.

Crookservers - це компанія, яка перепродує доступ до серверів. Такий бізнес цілком і повністю ведуть онлайн. Самі сервери, які здавали в оренду, належали іншій компанії і фізично розташовувалися у Франції й Канаді.

ВВС вдалося з'ясувати ім'я керівника компанії Crookservers - Усман Ашраф.

Судячи з інформації у соціальних мережах та інших інтернет-джерелах, у період з 2010 року до середини 2014 він був в Олдемі. Зараз він, судячи з усього, живе у Пакистані.

Ашраф відмовився давати інтерв'ю під запис, однак детально відповів на питання, надіслані йому електронною поштою.

Незважаючи на назву компанії ("Crookservers" можна перевести як "сервери для шахраїв"), він стверджує, що не знав, що серед його клієнтів були хакери.

"Ми ніколи не знаємо, яким чином клієнт використовує сервер", - написав він.

Коли у 2015 році йому повідомили про діяльність хакерів, він, за його словами, негайно анулював їхні облікові записи.

Також він сказав, що влаштував "контрольну перевірку", внаслідок якої закрили ще приблизно 60-70% облікових записів, які Ашраф підозрював у порушенні правил, оскільки, за його словами, він категорично проти таких зловживань.

Зібрати воєдино

Хакери Fancy Bear орендували сервери у Crookservers більше понад три роки, замітаючи сліди своєї діяльності за допомогою фальшивих документів, віртуальних приватних мереж (VPN) і платіжних систем, використання яких важко відстежити.

Експерти з Secureworks, що проаналізували для ВВС отриману в Crookservers інформацію, повідомили, що за допомогою серверів компанії хакери Fancy Bear провели кілька своїх операцій.

Image caption За словами Майка Маклеллана, хакери не особливо переймалися замітанням слідів

Експерт з питань комп'ютерної безпеки Майк Маклеллан стверджує, що російські хакери очевидно не переймалися приховуванням слідів своєї роботи.

В одному з повідомлень хакер під псевдонімом Роман Бреческу поскаржився, що його сервер зламали, і попросив видалити весь його вміст.

Image caption Те саме повідомлення про злам

Раніше Crookservers вже пов'язували з кібератакою на німецький парламент.

Сервер, який використовували для управління шкідливою програмою, також орендували у Crookservers хакер під псевдонімом Микола Младенов. Журналісти ВВС ознайомилися з платіжними документами: з'ясувалося, що за оренду хакер розплатився біткойнами через систему Perfect Money.

Хакери використовували сервер до червня 2015 року, після чого його видалили на вимогу Crookservers, коли ЗМІ повідомили про кібератаки.

IP-адреса того ж сервера фігурувала і в шкідливій програмі, яку використовували для зламу облікових записів деяких відвідувачів авіасалону у Фарнборо в 2014 році.

Та ж IP-адреса була і в "черв'якові", який хакери Fancy Bear використовували для кібератаки на одну з британських телекомпаній і Національний комітет Демократичної партії США, хоча на той час у Fancy Bear вже не було доступу до цього сервера.

Фінансовий обліковий запис Младенова використовував й інших хакер, який обрав псевдонім Клаус Вернер, щоб взяти в оренду у Crookservers додаткові сервери.

На один з цих орендованих Вернером серверів, як продемонструвало розслідування, надходив перенаправлений трафік з офіційного урядового сайту Нігерії.

Злам пристроїв Apple

Фінансовий обліковий запис Младенова і Вернера для оренди серверів у Crookservers використовували й інші хакери Fancy Bear, серед яких фігурував дехто на кшталт Бруно Лабрусс і Роман Бреческу.

Один із серверів та електронну адресу, з якої надійшов запит на його оренду, схоже, пов'язані з програмою для високотехнологічного шпигунства, яку використовували для зламу пристроїв на базі iOS.

Програма могла нишком від користувача увімкнути голосовий запис або викрасти текстові повідомлення.

Іншу адресу електронної пошти, яку також використовували для оренди серверів, можна пов'язати з кібератакою на Агентство національної безпеки Болгарії.

Однак є ще вісім серверів, орендованих з того ж облікового запису, інформація про які ніде не виринала. Судячи з цього, можна припустити, що про деякі кібератаки Fancy Bear поки що публічно не повідомляли.

Стежте за грошима

Угруповання Fancy Bear витратило на послуги Crookservers щонайменше 6 тисяч доларів, проводячи платежі через фінансові сервіси, що забезпечують високий рівень анонімності.

Серед них - Bitcoin, Liberty Reserve і Perfect Money. Систему Liberty Reserve пізніше закрили за підсумками міжнародного розслідування про відмивання грошей.

Image caption Тому Робінсону вдалося виявити джерело деяких виплат Fancy Bear

ВВС попросила британську компанію Elliptic, що спеціалізується на виявленні незаконного використання біткойнів, проаналізувати виплати Fancy Bear.

Провідний спеціаліст компанії Том Робінсон розповів, що його команда знайшла електронний гаманець, з якого перераховували гроші. За його словами, загальна вартість біткойнів, що зберігають у ньому, становить приблизно 100 тисяч доларів.

Elliptic вдалося з'ясувати, що деякі кошти у гаманці придбали на електронній біржі BTC-e.

У липні діяльність BTC-e припинила американська влада, а імовірного засновника біржі родом з Росії заарештували у Греції за звинуваченням у відмиванні грошей.

Хоча BTC-e була популярна серед російських кіберзлочинців, ВВС не знайшла свідчень того, що керівництво біржі знало про присутність хакерів Fancy Bear серед її клієнтів.

Фінансові та технічні документи пов'язують кілька кібератак, які приписували Fancy Bear.

І, можливо, якщо продовжувати розплутувати цей фінансовий клубок, викриттів буде ще більше.

Компанія Crookservers припинила своє існування 10 жовтня. Чого, однак, не можна сказати про діяльність Fancy Bear.

Новини на цю ж тему