Эксперт обнаружил возможную связь между C&C-сервером Carbanak и ФСБ

image

Теги: домен, IP-адрес, ФСБ

Один из доменов, использующийся в качестве C&C-сервера для управления вредоносным ПО, связан с IP-адресом, принадлежащим ФСБ.

Старший исследователь безопасности компании Trend Micro Максим Гончаров обнаружил интересную деталь, касающуюся киберпреступной операции Carbanak, в рамках которой злоумышленники похитили $1 млрд. Киберограбление продолжалось два года и затронуло порядка сотни финансовых организаций по всему миру.

Пересматривая индикаторы компрометации (indicators of compromise, IOC) Carbanak Гончаров  заметил , что один из доменов (systemsvc.net), использующийся в качестве C&C-сервера для управления вредоносным ПО, связан с IP-адресом (213.24.76.23) машины, расположенной в Москве. Согласно общедоступной информации о домене, сервер принадлежит Федеральной службе безопасности РФ (ФСБ России).

Как выяснилось при ближайшем рассмотрении, четыре остальных домена, использовавшихся в операции, указывали на тот же IP-адрес. По словам самого Гончарова, вряд ли российская ФСБ будет прикреплять связанное с Carbanak доменное имя к принадлежащему ей IP-адресу. Не исключено, что владелец домена просто решил таким образом пошутить, отметил эксперт.

В феврале этого года специалисты «Лаборатории Касперского»  сообщили  о киберпреступной операции под названием Carbanak. Предположительно, ее организатором является международная группировка киберпреступников из России, Украины, ряда других европейских стран, а также Китая. Наиболее крупные суммы преступники получали в ходе взломов банковских сетей – за каждый такой рейд злоумышленники похищали до $10 млн. В среднем ограбление одного финучреждения у хакеров занимало от двух до четырех месяцев.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.