Carbanak связана с российской охранной фирмой? – Krebs on Security
Среди наиболее грабительских банд киберпреступников есть группа, известная как « Carbanak, ». Восточноевропейские хакеры обвиняются в краже более миллиарда долларов из банков. Сегодня мы рассмотрим некоторые убедительные улики, указывающие на связь между плацдармом банды Карбанак и российской охранной фирмой, которая утверждает, что работает с некоторыми из крупнейших мировых брендов в области кибербезопасности.
Банда Carbanak получила свое название от банковского вредоносного ПО, которое использовалось в бесчисленных крупных киберограблениях. Банда, пожалуй, наиболее известна тем, что взламывала банковские сети с помощью отравленных файлов Microsoft Office, а затем использовала этот доступ, чтобы заставить банкоматы выдавать наличные. Русская охранная фирма По оценкам «Лаборатории Касперского» , банда Carbanak, вероятно, украла более 1 миллиарда долларов США, но в основном из российских банков.
Изображение: Kaspersky
Недавно я получил сообщение от исследователя безопасности Рона Гильметта , борца со спамом, чье расследование неоднократно освещалось на этом сайте и в блоге, который я написал для The Washington Post . Гилметт сказал, что он обнаружил некоторые интересные общие черты в первоначальных регистрационных записях веб-сайтов для множества сайтов, которые ранее были ответственны за распространение вредоносного ПО, которое, как известно, использовалось бандой Carbanak.
Например, домены « week-service[dot]com », « coral-trevel[dot]com » и « freemsk-dns[dot]com » были задокументированы несколькими охранными фирмами как распределенные. хабы для криминального ПО Carbanak. Исторические регистрационные записи или записи «WHOIS», поддерживаемые Domaintools.com для всех трех доменов, содержат одни и те же номера телефона и факса для того, что выглядит как Xicheng Co.
в Китае — 1066569215 и 1066549216 , каждому из которых предшествует либо +86 (код страны Китая) или +01 (США). Каждая запись домена также включает один и тот же контактный адрес: « [email protected] ».
Согласно данным, собранным ThreatConnect , поставщиком информации об угрозах [полное раскрытие: ThreatConnect является рекламодателем в этом блоге], по крайней мере 484 домена были зарегистрированы на адрес [email protected] или на один из 26 других адресов электронной почты. что указаны те же номера телефонов и китайская компания. «По меньшей мере 304 из этих доменов были связаны с вредоносным плагином, [который] ранее приписывался активности Carbanak», — сообщил ThreatConnect KrebsOnSecurity.
Возвращаясь к этим двум телефонным номерам, 1066569215 и 1066549216; на первый взгляд они кажутся последовательными, но при ближайшем рассмотрении видно, что они немного отличаются посередине.
Среди очень немногих доменов, зарегистрированных на эти китайские телефонные номера, которые не были замечены в запуске вредоносных программ, есть веб-сайт под названием « c ubehost[dot]biz », который, согласно записям, был зарегистрирован в сентябре 2013 года на 28 -летний Артем Тверитинов из Перми, Россия.
Cubehost[dot]biz — неактивный сайт, но, похоже, он является дочерней собственностью российской охранной фирмы под названием 9.0003 Инфокуб (также пишется как «Инфокуб»). Веб-сайт InfoKube — infokube.ru — также зарегистрирован на г-на Тверитинова из Перми, Россия; в истории WHOIS есть десятки записей для infokube.ru, но только самая старая, оригинальная запись с 2011 года содержит адрес электронной почты [email protected].
Этот же адрес электронной почты использовался для регистрации учетной записи четырехлетней давности в популярной российской социальной сети Вконтакте для Артема «LioN» Тверитинова из Перми, Россия.
Бит «LioN» — очевидная ссылка на одноименный антивирусный продукт Infokube.
Г-н Тверитинов упоминается как «генеральный директор ИнфоКуб» в пресс-релизе FalconGaze, московской фирмы по обеспечению безопасности данных, которая в партнерстве с «ИнфоКуб» внедрила «защиту данных и мониторинг сотрудников» в российском коммерческом исследовательском институте. В собственных пресс-релизах InfoKube говорится, что компания также была нанята для разработки «системы защиты информации от несанкционированного доступа» для города Пермь, Россия, и для консультационных проектов, связанных с «информационной безопасностью», осуществляемых для и с Государственным министерством. Интерьер России.
На веб-сайте компании утверждается, что InfoKube сотрудничает с рядом авторитетных фирм по обеспечению безопасности, включая Symantec и Kaspersky. Последний подтвердил, что InfoKube был «очень второстепенным партнером» «Лаборатории Касперского», в основном занимающимся системной интеграцией.
Zyxel , еще один партнер, указанный на странице партнеров InfoKube, заявил, что у него нет партнеров с именем InfoKube. Словацкая фирма по обеспечению безопасности ESET заявила, что «Инфокуб не является и никогда не был партнером ESET в России».
Ознакомившись с выводами Гильметта, я очень хотел спросить г-на Тверитинова, как номера телефона и факса китайской организации, чей номер телефона стал синонимом киберпреступности, были дословно скопированы в регистрационные записи веб-сайта Cubehost. Запросы на комментарии я отправил господину Тверитинову по электронной почте и через его страницу ВКонтакте.
Первоначально я получил дружеский ответ от г-на Тверитинова по электронной почте, в котором он выразил любопытство по поводу моего запроса и спросил, как я узнал его адрес электронной почты. В процессе написания более подробного ответа я заметил, что профиль социальной сети Вконтакте, который Тверитинов регулярно вел с апреля 2012 года, на моих глазах безвозвратно удаляется.
Страница профиля Тверитинова и фотографии фактически исчезли с экрана, который был у меня на одном мониторе, пока я писал ему электронное письмо на другом.
Вскоре после того, как страница Тверитинова Вконтакте была удалена, я получил от него письмо по электронной почте. Проигнорировав мой вопрос о внезапном исчезновении его учетной записи в социальной сети, Тверитинов сказал, что он никогда не регистрировал cubehost.biz и что его личная информация была украдена и использована в регистрационных записях для cubehost.biz.
«Наша компания никогда не делала ничего противозаконного и ведет всю деятельность в соответствии с законодательством Российской Федерации», — написал Тверитинов в электронном письме. «Кроме того, довольно глупо использовать собственные личные данные для регистрации доменов для использования в преступлениях, поскольку [мы] являемся специалистами в области информационной безопасности».
Оказывается, InfoKube/Cubehost также управляет целым рядом интернет-адресов, управляемых Петербургской интернет-сетью (PIN) Ltd.
, интернет-провайдером в Санкт-Петербурге, Россия, который имеет далеко не блестящую репутацию в отношении онлайн-плохости. .
Например, многие из вышеупомянутых доменных имен, которые охранные фирмы окончательно привязали к дистрибутиву Carbanak (например, freemsk-dns[dot].com), размещены в адресном пространстве Интернета, закрепленном за Cubehost. Поиск регистрационных записей RIPE для блока адресов 146.185.239..0/24 обнаруживает физический адрес в Рас-эль-Хайме , эмирате Объединенных Арабских Эмиратов (ОАЭ), который стремился создать репутацию налогового убежища и места, где легко создавать полностью анонимные оффшорные компании. . В том же списке говорится, что жалобы на злоупотребления в отношении интернет-адресов в этом блоке адресов следует отправлять по адресу «[email protected]».
Этот провайдер ПИН-хостинга в Санкт-Петербурге сам по себе добился известности и, вероятно, заслуживает дополнительного внимания, учитывая его репутацию пристанища для всевозможных онлайн-неудачников.
На самом деле Дуг Мэдори , директор по интернет-анализу в компании по управлению эффективностью Интернета Dyn, назвал компанию «…возможно, главным претендентом на звание Мос-Эйсли в Интернете» (умная ссылка на космопорт, полный инопланетных преступников в фильм 1977 года « Звездных войн»).
Мадори объяснил, что плохая репутация ПИН-кода связана с задокументированной склонностью интернет-провайдера скрывать огромные блоки адресных блоков Интернета, которые на самом деле ему не принадлежат, а затем передавать это украденное адресное пространство Интернета спамерам и другим Интернет-злодеи.
Со своей стороны, Гильметт указывает на десятилетие других гнусных действий, происходящих в адресном пространстве Интернета, которое, по всей видимости, принадлежит Тверитинову и его компании. Например, в 2013 году Microsoft захватила несколько припаркованных там доменов, которые использовались в качестве контроллеров для вредоносных программ онлайн-банкинга Citadel, и все эти домены имели одну и ту же «Xicheng Co».
данные в своих записях WHOIS. В отчете за сентябрь 2011 г., опубликованном в блоге безопасности dynamoo.com, отмечается, что несколько доменов с этой информацией WHOIS Xicheng Co. фигурировали в ограблениях онлайн-банкинга с помощью банковского трояна Sinowal еще в 2006 г.
«Если г-н Тверитинов либо знает, либо принимает непосредственное участие хотя бы в небольшой части преступных действий в пределах его адресного блока, то вероятность того, что он, возможно, также может играть роль в других и дополнительных преступных предприятиях… в том числе возможно, даже кибер-банковские ограбления Carbanak… становятся все более правдоподобными и вероятными», — сказал Гильметт.
Остается неясным, в какой степени банда Карбанак все еще активна. В прошлом месяце власти России арестовали 50 человек, предположительно связанных с организованной киберпреступной группой, члены которой, как сообщается, родом из России, Китая, Украины и других частей Европы. Акция была объявлена крупнейшей в истории репрессиями против финансовых хакеров в России.
Вконтакте на английском с примерами из контекста
Вконтакте на английском с примерами из контекста — MyMemoryОт профессиональных переводчиков, предприятий, веб-страниц и свободно доступных репозиториев переводов.
добавить перевод вконтакте
Английский
vk.com
Последнее обновление: 2013-08-08
Частота использования: 1
Качество:
Ссылка: Википедия
Испанский
фото: вконтакте.
Английский
фото: вконтакте.
Последнее обновление: 24 февраля 2016 г.
Качество:
Ссылка: Википедия
Испанский
фото вконтакте.
Английский
фото из вконтакте.
Последнее обновление: 24 февраля 2016 г.
Частота использования: 1
Качество:
Ссылка: Википедия
Испанский
презион вконтакте
Английский
давление вконтакте
Последнее обновление: 24 февраля 2016 г.
Частота использования: 1
Качество:
Ссылка: Википедия
Испанский
екатерина буллер, вконтакте.
Английский
екатерина буллер, вконтакте.
Последнее обновление: 24 февраля 2016 г.
Частота использования: 1
Качество:
Ссылка: Википедия
Испанский
Сравнение изображений в контакте.
Английский
поделился вконтакте.
Последнее обновление: 24 февраля 2016 г.
Частота использования: 1
Качество:
Ссылка: Википедия
Испанский
captura de pantalla: вконтакте
Английский
скрин: вконтакте
Последнее обновление: 24 февраля 2016 г.
Качество:
Ссылка: Википедия
Испанский
encontrar comunidades locales en vkontakte
Английский
поиск местных сообществ вконтакте
Последнее обновление: 24 февраля 2016 г.
Частота использования: 1
Качество:
Ссылка: Википедия
Испанский
imagen де су страницы en vkontakte.
Английский
фото с ее страницы вконтакте.
Последнее обновление: 24 февраля 2016 г.
Частота использования: 1
Качество:
Ссылка: Википедия
Испанский
фотография Владислава Торновой в контакте.
Английский
Владислав Торновой фотография вконтакте.
Последнее обновление: 24 февраля 2016 г.
Частота использования: 1
Качество:
Ссылка: Википедия
Испанский
вконтакте http://vk.com/club1146758 [2]
Английский
вконтакте http://vk.com/club1146758 [2]
Последнее обновление: 2018-02-13
Частота использования: 1
Качество:
Ссылка: Википедия
Испанский
está todo bien con facebook и vkontakte, кубики.
Английский
с фейсбуком и вконтакте все хорошо, скажете вы.
Последнее обновление: 24 февраля 2016 г.
Частота использования: 1
Качество:
Ссылка: Википедия
Испанский
официальная страница кампании в контакте.
Английский
официальная страница кампании в vk.com.
Последнее обновление: 2016-03-03
Частота использования: 1
Качество:
Ссылка: Википедия
Испанский
Павел Дуров, исключено из ВКонтакте, за зиму.
Английский
Павел Дуров изгнан из ВКонтакте навсегда.
Последнее обновление: 24 февраля 2016 г.
Частота использования: 1
Качество:
Ссылка: Википедия
Испанский
la imagen hizo que un bloguero de vkontakte reaccionara:
Английский
изображение вызвало реакцию одного блогера ВКонтакте:
Последнее обновление: 24 февраля 2016 г.
Частота использования: 1
Качество:
Ссылка: Википедия
Испанский
группа vkontakte de la batalla de bolas de nieve.
Английский
снежная битва группа вконтакте.
Последнее обновление: 24 февраля 2016 г.
Частота использования: 1
Качество:
Ссылка: Википедия
Испанский
incluso dentro de vkontakte, acechan las mismas sospechas.
Английский
даже внутри вконтакте есть затяжные подозрения.
Последнее обновление: 24 февраля 2016 г.
Частота использования: 1
Качество:
Ссылка: Википедия
Испанский
algo raro está pasando con vkontakte, ла версия руса де facebook.
Английский
Что-то странное происходит с ВКонтакте, доморощенной российской версией Facebook.
Последнее обновление: 24 февраля 2016 г.
Частота использования: 1
Качество:
Ссылка: Википедия
Испанский
en un post en su muro de vkontakte, sergey gostev описание:
Английский
в посте на своей стене вконтакте сергей гостев написал:
Последнее обновление: 24 февраля 2016 г.
Частота использования: 1
Качество:
Ссылка: Википедия
Испанский
ла ultima fotografía дие хоменко publicó en su cuenta де vkontakte.
Английский
последняя фотография, которую Хоменко разместила в своем аккаунте вконтакте.
Последнее обновление: 24 февраля 2016 г.
