Раскрыты подробности деятельности хакерской группировки Fancy Bear

Раскрыты подробности деятельности хакерской группировки Fancy Bear

Хакеры использовали арендованные у британской компании Crookservers серверы для атак на немецкий парламент и Демпартию США.

Хакерская группировка Fancy Bear, которую связывают с российскими спецслужбами, в течение трех лет арендовала серверы у британской компании Crookservers, выяснили журналисты BBC в результате проведенного расследования.

Арендованные серверы использовались для кибератаки на компьютерную сеть немецкого парламента, перехвата трафика сайта нигерийского правительства и взлома устройств Apple, пишет BBC. Как предполагают эксперты, Fancy Bear, также известная как APT28, Sofacy, Iron Twilight и Pawn Storm, также причастна ко взлому серверов Национального комитета демократической партии США во время избирательной кампании в 2016 году. IP-адрес, привязанный к арендованному у Crookservers серверу, был обнаружен во вредоносном коде, использовавшемуся в данной атаке, отмечает BBC.

Crookservers специализируется на перепродаже доступа к серверам. Подобный бизнес целиком и полностью ведется online. Сами сдававшиеся серверы принадлежали другой компании и физически располагались во Франции и Канаде. Журналистам удалось выяснить имя управляющего компанией. Им оказался некто по имени Усман Ашраф (Usman Ashraf). Согласно информации из социальных сетей и других интернет-источников, в период с 2010 года по середину 2014 Ашраф находился в Олдеме (городе, где была зарегистрирована Crookservers). Сейчас он, судя по всему, проживает в Пакистане.

Журналисты связались с Ашрафом. По его словам, в компании не знали, что предоставляют услуги хакерам. После того, как в 2015 году Ашрафу сообщили о деятельности злоумышленников, Crookservers аннулировала их аккаунты.

«Мы никогда не знаем, каким образом клиент использует сервер», - отметил Ашраф.

Согласно техническим и финансовым документам Crookservers, с которыми ознакомились журналисты, Fancy Bear располагала значительными финансовыми средствами и проводила платежи через online-сервисы, часть которых впоследствии была закрыта в ходе операции по пресечению отмывания денег.

Fancy Bear арендовала серверы у Crookservers более трех лет, скрывая следы своей деятельности с помощью фальшивых удостоверений личности, виртуальных частных сетей (VPN) и платежных систем, использование которых трудно отследить. С помощью серверов компании хакеры провели ряд своих операций.

Хакеры связывались с компанией, используя псевдонимы, например, Роман Бреческу (Roman Brecesku) или Николай Младенов (Nikolay Mladenov). Последний арендовал у Crookservers сервер, который затем связали с атакой на Бундестаг. За услуги компании Младенов расплатился биткойнами через систему Perfect Money. Сервер он использовал до июня 2015 года, пока СМИ не сообщили об инциденте и Crookservers потребовала прекратить аренду. IP-адрес того же сервера фигурировал и во вредоносной программе, использовавшейся для взлома учетных записей ряда посетителей авиасалона в Фарнборо в 2014 году, а также содержался в черве, который Fancy Bear применила в кибератаках на одну из британских телекомпаний и Национальный комитет демократической партии США, хотя к тому времени у группировки уже не было доступа к данному серверу.

Финансовая учетная запись Младенова использовалась и другим хакером, который под псевдонимом Клаус Вернер (Klaus Werner) арендовал у Crookservers дополнительные серверы. На один из них поступал перенаправленный трафик с официального правительственного сайта Нигерии.

Один из серверов Crookservers и электронный адрес, с которого поступил запрос на его аренду, могут быть связаны с вредоносной программой, использовавшейся для взлома устройств на базе iOS, пишет ВВС. Функционал вредоноса включает возможность аудиозаписи разговоров и хищения текстовых сообщений.

В общей сложности группировка потратила на услуги Crookservers $6 тыс. Перевод платежей осуществлялся через финансовые сервисы, обеспечивающие высокий уровень анонимности. В их числе Bitcoin, Liberty Reserve и Perfect Money. Британская компания Elliptic, специализирующаяся на выявлении незаконного использования биткойнов, проанализировала выплаты Fancy Bear и обнаружила электронный кошелек, содержавших биткойны на сумму $100 тыс. Некоторые средства в кошельке были приобретены через биржу BTC-e. Напомним, американские правоохранители прекратили деятельность площадки в июле нынешнего года, а ее предполагаемый основатель Александр Винник был арестован в Греции по обвинению в отмывании не менее $4 млрд.

 

 

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться