ВВС обнаружила в Британии следы российских хакеров

Crookservers
Image caption Российские хакеры потратили на услуги Crookservers более шести тысяч долларов

Расследование ВВС установило, что российские хакеры Fancy Bear оставили после себя множество следов, когда арендовали серверы в зарегистрированной в Великобритании компании.

Хакеры использовали арендованные серверы для кибератаки на компьютерную систему немецкого парламента, перехвата трафика сайта нигерийского правительства и взлома устройств Apple.

Компания Crookservers, которая предоставила серверы, на тот момент была зарегистрирована в английском городе Олдем под Манчестером.

В Crookservers сообщили, что немедленно прекратили предоставлять услуги Fancy Bear, как только в компании узнали о деятельности хакеров.

Согласно техническим и финансовым документам Crookservers, с которыми ознакомились журналисты BBC, клиенты компании из Fancy Bear располагали большими деньгами и проводили платежи через онлайн-сервисы, часть которых впоследствии закрыли во время операции по прекращению отмывания доходов.

Хакеров из Fancy Bear, также известных как APT28, Sofacy, Iron Twilight и Pawn Storm, связывают с российской разведкой.

Копірайт зображення Crowdstrike
Image caption Компании Crowdstrike удалось обнаружить некоторые аспекты деятельности Fancy Bear

Эксперты в области кибербезопасности утверждают, что группировка сыграла ключевую роль в кибератаке на серверы Национального комитета Демократической партии США накануне президентских выборов 2016 года.

Адрес интернет-протокола (IP-адрес), который был привязан к серверу, арендованный через Crookservers, был затем обнаружен во вредном программном коде, который использовали для кибератаки на демократов.

магазинные шпионы

В начале 2012 года, по данным сайта компании, Crookservers была зарегистрирована по одному адресу с крошечным магазином, который расположен на ничем не примечательной улочке в Олдеме.

Image caption В начале 2012 года Crookservers была зарегистрирована на небольшой улочке в Олдеме

Однако через некоторое время адрес сменился на пакистанский. Журналисты ВВС не нашли никаких свидетельств того, что руководство магазина или его сотрудники знали об использовании их адреса, либо Crookservers была каким-то образом связана с магазином.

Crookservers - это компания, которая перепродает доступ к серверам. Такой бизнес целиком и полностью ведут онлайн. Сами серверы, которые сдавали в аренду, принадлежали другой компании и физически располагались во Франции и Канаде.

ВВС удалось выяснить имя руководителя компании Crookservers - Усман Ашраф.

Судя по информации в социальных сетях и других интернет-источниках, в период с 2010 года до середины 2014 он был в Олдеме. Сейчас он, судя по всему, живет в Пакистане.

Ашраф отказался давать интервью под запись, однако подробно ответил на вопросы, присланные ему по электронной почте.

Несмотря на название компании ("Crookservers" можно перевести как "серверы для мошенников"), он утверждает, что не знал, что среди его клиентов были хакеры.

"Мы никогда не знаем, каким образом клиент использует сервер", - написал он.

Когда в 2015 году ему сообщили о деятельности хакеров, он, по его словам, немедленно аннулировал их учетные записи.

Также он сказал, что устроил "контрольную проверку", в результате которой закрыли еще примерно 60-70% учетных записей, подозреваемых в нарушении правил, поскольку, по его словам, он категорически против таких злоупотреблений.

Собрать воедино

Хакеры Fancy Bear арендовали серверы в Crookservers более трех лет, заметая следы своей деятельности с помощью фальшивых документов, виртуальных частных сетей (VPN) и платежных систем, использование которых трудно отследить.

Эксперты из Secureworks, проанализировавшие для ВВС полученную в Crookservers информацию, сообщили, что с помощью серверов компании хакеры Fancy Bear провели несколько своих операций.

Image caption По словам Майка Маклеллана, хакеры не особенно заботились о заметании следов

Эксперт по вопросам компьютерной безопасности Майк Маклеллан утверждает, что российские хакеры явно не занимались сокрытием следов своей работы.

В одном из сообщений хакер под псевдонимом Роман Бреческу пожаловался, что его сервер взломали, и попросил удалить все его содержимое..

Image caption То же самое сообщение о взломе

Ранее Crookservers уже связывали с кибератакой на немецкий парламент.

Сервер, который использовали для управления вредоносной программой, также арендовал в Crookservers хакер под псевдонимом Николай Младенов. Журналисты ВВС ознакомились с платежными документами: выяснилось, что за аренду хакер расплатился биткойнами через систему Perfect Money.

Хакеры использовали сервер до июня 2015 года, после чего его удалили по требованию Crookservers, когда СМИ сообщили о кибератаках.

IP-адрес того же сервера фигурировал и во вредоносной программе, которую использовали для взлома учетных записей некоторых посетителей авиасалона в Фарнборо в 2014 году.

Тот же IP-адрес был и в "вирусе", который хакеры Fancy Bear использовали для кибератаки на одну из британских телекомпаний и Национальный комитет Демократической партии США, хотя в то время у Fancy Bear уже не было доступа к этому серверу.

Финансовый аккаунт Младенова использовал и другой хакер, который избрал псевдоним Клаус Вернер, чтобы взять в аренду у Crookservers дополнительные серверы.

На один из этих арендованных Вернером серверов, как показало расследование, поступал перенаправленный трафик из официального правительственного сайта Нигерии.

Взлом устройств Apple

Финансовый аккаунт Младенова и Вернера для аренды серверов Crookservers использовали и другие хакеры Fancy Bear, среди которых фигурировали некто вроде Бруно Лабрусса и Романа Бреческу.

Один из серверов и электронный адрес, с которого поступил запрос на его аренду, похоже, были связаны с программой для высокотехнологичного шпионажа, которую использовали для взлома устройств на базе iOS.

Программа могла в тайне от пользователя включить голосовую запись или выкрасть текстовые сообщения.

Другой адрес электронной почты, который также использовали для аренды серверов, можно связать с кибератакой на Агентство национальной безопасности Болгарии.

Однако есть еще восемь серверов, арендованных с того же аккаунта, информация о которых нигде не появлялась. Судя по этому, можно предположить, что о некоторых кибератаках Fancy Bear пока публично не сообщали.

Следите за деньгами

Группировка Fancy Bear потратила на услуги Crookservers минимум 6 тысяч долларов, проводя платежи через финансовые сервисы, обеспечивающие высокий уровень анонимности.

Среди них - Bitcoin, Liberty Reserve и Perfect Money. Систему Liberty Reserve позже закрыли по Итогам международного расследования об отмывании денег.

Image caption Тому Робинсону удалось обнаружить источник некоторых выплат Fancy Bear

ВВС попросила британскую компанию Elliptic, специализирующуюся на выявлении незаконного использования биткойнов, проанализировать выплаты Fancy Bear.

Ведущий специалист компании Том Робинсон рассказал, что его команда нашла электронный кошелек, с которого перечисляли деньги. По его словам, общая стоимость биткойнов, сохраняющихся в нем, составляет примерно 100 тысяч долларов.

Elliptic удалось выяснить, что некоторые средства в кошельке приобрели на электронной бирже BTC-e.

В июле деятельность BTC-e прекратили американские власти, а вероятного основателя биржи родом из России арестовали в Греции по обвинению в отмывании денег.

Хотя BTC-e была популярна среди российских киберпреступников, ВВС не нашла свидетельств того, что руководство биржи знало о присутствии хакеров Fancy Bear среди ее клиентов.

Финансовые и технические документы связывают несколько кибератак, которые приписывали Fancy Bear.

И, возможно, если продолжать распутывать этот финансовый клубок, разоблачений будет еще больше.

Компания Crookservers прекратила свое существование 10 октября. Чего, однако, нельзя сказать о деятельности Fancy Bear.

Новости по теме