К примеру, по свидетельствам многочисленных ИБ-исследователей, домены weekend-service.com, coral-trevel.com и freemsk-dns.com были задействованы в качестве центров по распространению вредоноса Carbanak. По информации эксперта Брайана Кребса, записи WHOIS всех трех доменов содержат одни и те же номера телефонов и факсов - 1066569215 и 1066549216 – с кодами +86 (Китай) и +01 (США). Как выяснилось, оба номера принадлежат китайской компании Xicheng Co. Кроме того, все записи содержат контактный электронный адрес williamdanielsen@yahoo.com. По данным ThreatConnect, этот адрес использовался при регистрации по меньшей мере 484 доменов, 304 из которых были связаны с вредоносным плагином, предположительно использованным в операции Carbanak.
В числе доменов эксперты обнаружили сайт cubehost.biz, в сентябре 2013 года зарегистрированный на жителя Перми Артема Тверитинова. Владельцем данного ресурса является российская ИБ-компания Infocube (встречается название Infokube), сайт которой также зарегистрирован на Тверитинова. Согласно пресс-релизу московской компании Falcongaze, Тверитинов является "исполнительным директором InfoKub". Как утверждается в собственном пресс-релизе InfoKube, фирма занимается созданием систем защиты от несанкционированного доступа для госорганов Пермского края, а также предоставляет консультационные услуги в рамках "связанных с безопасностью" проектов, разрабатываемых Министерством внутренних дел РФ.
По информации официального сайта InfoKube, предприятие сотрудничает с рядом известных ИБ-компаний, в том числе Symantec, "Лаборатория Касперского", Zyxel и ESET. По словам представителей Zyxel и ESET, компании никогда не имели дела с InfoKube. В "Лаборатории Касперского" признали факт сотрудничества, но отметили, что оно было весьма незначительным.
Брайану Кребсу удалось связаться с Артемом Тверитиновым по электронной почте и через страницу в "ВКонтакте". В процессе общения Тверитинов удалил свой профиль в соцсети, который он активно поддерживал с 2012 года. На вопрос Кребса о причастности к сайту cubehost.biz Тверитинов ответил, что никогда не регистрировал данный ресурс, а при регистрации сайта могли использоваться его похищенные персональные данные.
Как оказалось, компания InfoKube использует ряд IP-адресов, предоставляемых ООО "Санкт-Петербургская Интернет сеть". Значительное количество вышеуказанных доменов, связываемых специалистами с распространением Carbanak, используют предназначенное Cubehost адресное пространство. Дальнейшее расследование показало, что блок 146.185.239.0/24 связан с физическим адресом в эмирате Рас-аль-Хайма (ОАЭ), получившем репутацию отличного места для учреждения полностью анонимных офшорных компаний.
По словам Гильмета, адресное пространство InfoKube в течение нескольких лет использовалось в преступных целях. Например, в качестве C&C-серверов для управления банковскими троянами Citadel и Sinowal.
"Если Тверитинов знал или был даже в небольшой мере вовлечен в криминальную активность в адресном пространстве, вполне вероятно, что он принимал участие и в других операциях […] возможно даже Carbanak", - отметил Гильмет.