Контакты
Подписка
МЕНЮ
Контакты
Подписка

Эксперт обнаружил связь между операцией Carbanak и российской IT-компанией

Эксперт обнаружил связь между операцией Carbanak и российской IT-компанией

Эксперт обнаружил связь между операцией Carbanak и российской IT-компанией


20.07.2016



Исследователь в сфере информационной безопасности Рон Гильмет (Ron Guilmette) обнаружил сходство в регистрационных записях ряда web-сайтов, замеченных в распространении вредоносного ПО, использовавшегося в киберпреступной операции Carbanak. По данным "Лаборатории Касперского", в рамках кампании злоумышленники похитили порядка $1 млрд (в основном из российских банков).

 К примеру, по свидетельствам многочисленных ИБ-исследователей, домены weekend-service.com, coral-trevel.com и freemsk-dns.com были задействованы в качестве центров по распространению вредоноса Carbanak. По информации эксперта Брайана Кребса, записи WHOIS всех трех доменов содержат одни и те же номера телефонов и факсов - 1066569215 и 1066549216 – с кодами +86 (Китай) и +01 (США). Как выяснилось, оба номера принадлежат китайской компании Xicheng Co. Кроме того, все записи содержат контактный электронный адрес williamdanielsen@yahoo.com. По данным ThreatConnect, этот адрес использовался при регистрации по меньшей мере 484 доменов, 304 из которых были связаны с вредоносным плагином, предположительно использованным в операции Carbanak.

 В числе доменов эксперты обнаружили сайт cubehost.biz, в сентябре 2013 года зарегистрированный на жителя Перми Артема Тверитинова. Владельцем данного ресурса является российская ИБ-компания Infocube (встречается название Infokube), сайт которой также зарегистрирован на Тверитинова. Согласно пресс-релизу московской компании Falcongaze, Тверитинов является "исполнительным директором InfoKub". Как утверждается в собственном пресс-релизе InfoKube, фирма занимается созданием систем защиты от несанкционированного доступа для госорганов Пермского края, а также предоставляет консультационные услуги в рамках "связанных с безопасностью" проектов, разрабатываемых Министерством внутренних дел РФ.

 По информации официального сайта InfoKube, предприятие сотрудничает с рядом известных ИБ-компаний, в том числе Symantec, "Лаборатория Касперского", Zyxel и ESET. По словам представителей Zyxel и ESET, компании никогда не имели дела с InfoKube. В "Лаборатории Касперского" признали факт сотрудничества, но отметили, что оно было весьма незначительным.

 Брайану Кребсу удалось связаться с Артемом Тверитиновым по электронной почте и через страницу в "ВКонтакте". В процессе общения Тверитинов удалил свой профиль в соцсети, который он активно поддерживал с 2012 года. На вопрос Кребса о причастности к сайту cubehost.biz Тверитинов ответил, что никогда не регистрировал данный ресурс, а при регистрации сайта могли использоваться его похищенные персональные данные.

 Как оказалось, компания InfoKube использует ряд IP-адресов, предоставляемых ООО "Санкт-Петербургская Интернет сеть". Значительное количество вышеуказанных доменов, связываемых специалистами с распространением Carbanak, используют предназначенное Cubehost адресное пространство. Дальнейшее расследование показало, что блок 146.185.239.0/24 связан с физическим адресом в эмирате Рас-аль-Хайма (ОАЭ), получившем репутацию отличного места для учреждения полностью анонимных офшорных компаний.

 По словам Гильмета, адресное пространство InfoKube в течение нескольких лет использовалось в преступных целях. Например, в качестве C&C-серверов для управления банковскими троянами Citadel и Sinowal.

 "Если Тверитинов знал или был даже в небольшой мере вовлечен в криминальную активность в адресном пространстве, вполне вероятно, что он принимал участие и в других операциях […] возможно даже Carbanak", - отметил Гильмет.

Securitylab